Глобальный взлом: 150 тыс. сайтов под атакой JavaScript-инъекций

За последние годы ведется масштабная кибератака, в ходе которой на легитимные ресурсы внедряют вредоносный JavaScript для перенаправления посетителей на китайскоязычные игровые платформы. По оценкам, заражено около 150 000 сайтов, что свидетельствует о высокой степени проникновения злоумышленников.
Глобальный взлом: 150 тыс. сайтов под атакой JavaScript-инъекций
Изображение носит иллюстративный характер

На сегодняшний день более 135 800 сайтов содержат вредоносную нагрузку, как подтверждает источник PublicWWW. Эти цифры отражают продолжающийся характер кампании и указывают на серьезность проблемы, с которой сталкиваются владельцы онлайн-ресурсов по всему миру.

Вредоносный сценарий внедряется через внедрение JavaScript-кода, призванного захватывать окно браузера пользователя. Скрипт производит перенаправление, используя CSS для создания полноэкранного оверлея, который полностью заменяет оригинальное содержимое сайта на рекламную страницу азартных игр. Перенаправление осуществляется посредством скриптов, размещенных на пяти различных доменах, примером которых является «zuizhongyj[.]com».

Эксперт Anand отмечает: «Это атака демонстрирует, как злоумышленники постоянно адаптируются, расширяя охват и используя новые уровни сокрытия». По его словам, клиентские атаки, подобные данной, наблюдаются все чаще, подтверждая нарастающую активность в сфере киберугроз.

Параллельно функционирует операция «DollyWay World Domination», о которой заявил GoDaddy. С 2016 года эта кампания скомпрометировала более 20 000 сайтов по всему миру, а по состоянию на февраль 2025 года — свыше 10 000 уникальных WordPress-ресурсов. В данной итерации атак злоумышленники инициируют перенаправление посетителей с помощью распределенной сети узлов Traffic Direction System (TDS), расположенных на взломанных сайтах.

В ходе атаки динамически генерируемый JavaScript-код внедряется на WordPress-ресурсы и перенаправляет пользователей на ссылки, связанные с VexTrio или LosPollos. Помимо этого, владельцы зараженных сайтов вынуждены сталкиваться с монетизацией через рекламные сети, например PropellerAds. На стороне сервера в активные плагины добавляется PHP-код, который отключает защитные модули, удаляет вредоносные учетные записи администратора и похищает легитимные административные данные.

Инфраструктура атаки, организованная через сеть DollyWay TDS, использует скомпрометированные WordPress-сайты в качестве узлов командования и управления. По оценкам, эта распределенная система генерирует 9–10 миллионов показов страниц ежемесячно, а перенаправления к URL-адресам VexTrio осуществляются через партнерство с LosPollos.

В ноябре 2024 года операторы DollyWay сообщили об удалении нескольких серверов командования и управления, после чего скрипт TDS стал получать URL-адреса перенаправлений через Telegram-канал «trafficredirect». Denis Sinegubko подчеркивает: «Нарушение взаимоотношений DollyWay с LosPollos стало знаковым этапом в этой долговременной кампании», добавляя о быстрой адаптации злоумышленников к изменениям в инфраструктуре и методах монетизации.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка