Una campaña en curso que se infiltra en sitios web legítimos con inyecciones de JavaScript maliciosas para promover las plataformas de articulación en idioma chino se ha disparado para comprometer aproximadamente 150,000 sitios hasta la momento.
“El actor de amenaza ha renovado tenuemente su interfaz, pero aún depende de una inyección de iframe para mostrar una superposición de pantalla completa en el navegador del visitante”, dijo el analista de seguridad C/Side Anand en un nuevo investigación.
Al momento de escribir, hay más de 135,800 sitios que contienen la carga útil de JavaScript, por estadísticas de PublicWww.
Según lo documentado por la compañía de seguridad del sitio web el mes pasado, la campaña implica infectar sitios web con JavaScript desconfiado diseñado para secuestrar la ventana del navegador del afortunado para redirigir a los visitantes del sitio a páginas que promueven las plataformas de articulación.
Se ha incompatible que las redirecciones ocurren a través de JavaScript alojado en cinco dominios diferentes (por ejemplo, “Zuizhongyj (.) Com”) que, a su vez, sirven a la carga útil principal responsable de realizar las redirecciones.
C/Side dijo que además observó otra variable de la campaña que implica scripts inyectantes y fundamentos de iframe en HTML que se hace producirse por sitios web de apuestas legítimas como BET365 haciendo uso de logotipos y marcas oficiales.
El objetivo final es servir una superposición de pantalla completa utilizando CSS que hace que la página de destino de articulación maliciosa se muestre al pasarse uno de los sitios infectados en circunstancia del contenido web actual.
“Este ataque demuestra cómo los actores de amenaza se adaptan constantemente, aumentando su luces y el uso de nuevas capas de ofuscación”, dijo Anand. “Los ataques del banda del cliente como estos están en aumento, con más y más hallazgos todos los días”.
La divulgación se produce cuando GoDaddy reveló detalles de una operación de malware de larga duración denominada Dollyway World Domination que ha comprometido más de 20,000 sitios web a nivel mundial desde 2016. A partir de febrero de 2025, más de 10,000 sitios únicos de WordPress han sido víctimas del esquema.
“La iteración coetáneo (…) se dirige principalmente a los visitantes de sitios de WordPress infectados a través de scripts de redirección inyectados que emplean un nodo de red distribuida de Sistema de dirección de tráfico (TDS) alojados en sitios web comprometidos”, dijo el investigador de seguridad Denis Sinegubko.
“Estos scripts redirigen a los visitantes del sitio a varias páginas de estafas a través de redes de corredores de tráfico asociadas con Vextrio, una de las redes de afiliados cibercriminales más grandes que aprovechan las técnicas DNS sofisticadas, los sistemas de distribución de tráfico y los algoritmos de reproducción de dominios para ofrecer malware y estafas en las redes globales”.
Los ataques comienzan a inyectar un script generado dinámicamente en el sitio de WordPress, redirigiendo a los visitantes a los enlaces Vextrio o Lospollos. Igualmente se dice que la actividad ha utilizado redes publicitarias como Propellerads para monetizar el tráfico de sitios comprometidos.
Las inyecciones maliciosas en el banda del servidor se facilitan a través del código PHP insertado en complementos activos, al tiempo que toman medidas para deshabilitar los complementos de seguridad, eliminar los usuarios de suministro maliciosos y sifon las credenciales de suministro legítimas para cumplir con sus objetivos.
Desde entonces, Godaddy ha revelado que el TDS Dollyway aprovecha una red distribuida de sitios de WordPress comprometidos como TDS y nodos de comando y control (C2), alcanzando 9-10 millones de impresiones de páginas mensuales. Adicionalmente, se ha incompatible que las URL de redirección de Vextrio se obtienen de la red de corredores de tráfico de Lospolles.
Rodeando de noviembre de 2024, se dice que los operadores de Dollyway eliminaron varios de sus servidores C2/TDS, con el script TDS obteniendo las URL de redirección de un canal de telegrama llamado Tráfico.
“La interrupción de la relación de Dollyway con Lospollos marca un punto de inflexión significativo en esta campaña de larga data”, señaló SineGubko. “Si acertadamente los operadores han demostrado una trascendente adaptabilidad al producirse rápidamente a los métodos alternativos de monetización de tráfico, los cambios rápidos en la infraestructura y las interrupciones parciales sugieren cierto nivel de impacto activo”.
