Una campaña en curso que se infiltra en sitios web legítimos con inyecciones de JavaScript maliciosas para promover las plataformas de selección en idioma chino se ha disparado para comprometer aproximadamente 150,000 sitios hasta la vencimiento.
«El actor de amenaza ha renovado levemente su interfaz, pero aún depende de una inyección de iframe para mostrar una superposición de pantalla completa en el navegador del visitante», dijo el analista de seguridad C/Side Anand en un nuevo estudio.
Al momento de escribir, hay más de 135,800 sitios que contienen la carga útil de JavaScript, por estadísticas de PublicWww.
Según lo documentado por la compañía de seguridad del sitio web el mes pasado, la campaña implica infectar sitios web con JavaScript sagaz diseñado para secuestrar la ventana del navegador del adjudicatario para redirigir a los visitantes del sitio a páginas que promueven las plataformas de selección.
Se ha enemigo que las redirecciones ocurren a través de JavaScript alojado en cinco dominios diferentes (por ejemplo, «Zuizhongyj (.) Com») que, a su vez, sirven a la carga útil principal responsable de realizar las redirecciones.
C/Side dijo que igualmente observó otra variación de la campaña que implica scripts inyectantes y medios de iframe en HTML que se hace acontecer por sitios web de apuestas legítimas como BET365 haciendo uso de logotipos y marcas oficiales.
El objetivo final es servir una superposición de pantalla completa utilizando CSS que hace que la página de destino de selección maliciosa se muestre al pasar revista uno de los sitios infectados en punto del contenido web vivo.
«Este ataque demuestra cómo los actores de amenaza se adaptan constantemente, aumentando su radio y el uso de nuevas capas de ofuscación», dijo Anand. «Los ataques del flanco del cliente como estos están en aumento, con más y más hallazgos todos los días».
La divulgación se produce cuando GoDaddy reveló detalles de una operación de malware de larga duración denominada Dollyway World Domination que ha comprometido más de 20,000 sitios web a nivel mundial desde 2016. A partir de febrero de 2025, más de 10,000 sitios únicos de WordPress han sido víctimas del esquema.
«La iteración flagrante (…) se dirige principalmente a los visitantes de sitios de WordPress infectados a través de scripts de redirección inyectados que emplean un nodo de red distribuida de Sistema de dirección de tráfico (TDS) alojados en sitios web comprometidos», dijo el investigador de seguridad Denis Sinegubko.
«Estos scripts redirigen a los visitantes del sitio a varias páginas de estafas a través de redes de corredores de tráfico asociadas con Vextrio, una de las redes de afiliados cibercriminales más grandes que aprovechan las técnicas DNS sofisticadas, los sistemas de distribución de tráfico y los algoritmos de coexistentes de dominios para ofrecer malware y estafas en las redes globales».
Los ataques comienzan a inyectar un script generado dinámicamente en el sitio de WordPress, redirigiendo a los visitantes a los enlaces Vextrio o Lospollos. Asimismo se dice que la actividad ha utilizado redes publicitarias como Propellerads para monetizar el tráfico de sitios comprometidos.
Las inyecciones maliciosas en el flanco del servidor se facilitan a través del código PHP insertado en complementos activos, al tiempo que toman medidas para deshabilitar los complementos de seguridad, eliminar los usuarios de agencia maliciosos y sifon las credenciales de agencia legítimas para cumplir con sus objetivos.
Desde entonces, Godaddy ha revelado que el TDS Dollyway aprovecha una red distribuida de sitios de WordPress comprometidos como TDS y nodos de comando y control (C2), alcanzando 9-10 millones de impresiones de páginas mensuales. Adicionalmente, se ha enemigo que las URL de redirección de Vextrio se obtienen de la red de corredores de tráfico de Lospolles.
En torno a de noviembre de 2024, se dice que los operadores de Dollyway eliminaron varios de sus servidores C2/TDS, con el script TDS obteniendo las URL de redirección de un canal de telegrama llamado Tráfico.
«La interrupción de la relación de Dollyway con Lospollos marca un punto de inflexión significativo en esta campaña de larga data», señaló SineGubko. «Si aceptablemente los operadores han demostrado una importante adaptabilidad al acontecer rápidamente a los métodos alternativos de monetización de tráfico, los cambios rápidos en la infraestructura y las interrupciones parciales sugieren cierto nivel de impacto operante».
