Een voortdurende campagne die legitieme websites infiltreert met kwaadaardige JavaScript-injecties om Chinees-taalgokplatforms te promoten, is tot op heden een ballon om ongeveer 150.000 sites in gevaar te brengen.
“De dreigingsacteur heeft hun interface enigszins vernieuwd, maar vertrouwt nog steeds op een IFRAME-injectie om een op volledig scherm in de browser van de bezoeker weer te geven,” zei C/Side Security Analyst Himanshu Anand in een nieuwe analyse.
Vanaf schrijven zijn er meer dan 135.800 sites met de JavaScript -lading, per statistieken van PublicWWW.
Zoals gedocumenteerd door het Website Security Company vorige maand, omvat de campagne het infecteren van websites met kwaadwillende JavaScript die is ontworpen om het browservenster van de gebruiker te kapen om sitebezoekers door te sturen naar pagina’s die gokplatforms promoten.
De omleidingen zijn gevonden om op te treden via JavaScript gehost op vijf verschillende domeinen (bijv. “Zuizhongyj (.) Com”) die op zijn beurt de belangrijkste lading dienen die verantwoordelijk is voor het uitvoeren van de omleidingen.
C/Side zei dat het ook een andere variant van de campagne heeft waargenomen die injecteert met het injecteren van scripts en iframe -elementen in HTML die zich voordoet als legitieme gokwebsites zoals BET365 door gebruik te maken van officiële logo’s en branding.
Het einddoel is om een op het hele scherm te bedienen met behulp van CSS waardoor de schadelijke gokbestandspagina wordt weergegeven bij het bezoeken van een van de geïnfecteerde sites in plaats van de werkelijke webinhoud.
“Deze aanval laat zien hoe dreigingsacteurs zich voortdurend aanpassen, hun bereik vergroten en nieuwe lagen van verduistering gebruiken,” zei Anand. “Zulke client-side-aanvallen nemen toe, met steeds meer bevindingen elke dag.”
De openbaarmaking komt wanneer Godaddy details onthulde van een langlopende malware-operatie Dollyway World Domination die sinds 2016 meer dan 20.000 websites wereldwijd in gevaar heeft gebracht. Vanaf februari 2025 zijn meer dan 10.000 unieke WordPress-sites het slachtoffer van de regeling geworden.
“De huidige iteratie (…) richt zich voornamelijk op bezoekers van geïnfecteerde WordPress -sites via geïnjecteerde omleidingsscripts die gebruik maken van een gedistribueerd netwerk van verkeersrichtingssysteem (TDS) knooppunten gehost op gecompromitteerde websites,” zei beveiligingsonderzoeker Denis Sinegubko.
“Deze scripts leiden sitebezoekers door naar verschillende zwendelpagina’s via verkeersmakelaarnetwerken geassocieerd met Vextrio, een van de grootste bekende cybercriminale affiliate netwerken die gebruikmaken van geavanceerde DNS -technieken, verkeersdistributiesystemen en domeingeneratie -algoritmen om malware en scams te leveren over wereldwijde netwerken.”
De aanvallen beginnen met het injecteren van een dynamisch gegenereerd script in de WordPress -site, waardoor bezoekers uiteindelijk worden omgeleid naar Vextrio of Lospollos -links. Er wordt ook gezegd dat de activiteit advertentienetwerken zoals propellerads heeft gebruikt om het verkeer van gecompromitteerde sites te verdienen.
De kwaadaardige injecties aan de server worden gefaciliteerd via PHP-code die in actieve plug-ins wordt ingevoegd, terwijl ze ook stappen ondernemen om beveiligingsplug-ins uit te schakelen, kwaadaardige beheerdersgebruikers te verwijderen en legitieme beheerdersreferenties te verwerven om hun doelstellingen te bereiken.
GoDaddy heeft sindsdien onthuld dat de Dollyway TDS een gedistribueerd netwerk van gecompromitteerde WordPress-sites gebruikt als TDS en Command-and-Control (C2) -knooppunten, waarbij 9-10 miljoen maandelijkse pagina-indrukken worden bereikt. Bovendien is gevonden dat de Vextrio -omleidings -URL’s zijn verkregen uit het Lospollos Traffic Broker Network.
Rond november 2024 zouden Dollyway -operators verschillende van hun C2/TDS -servers hebben verwijderd, waarbij het TDS -script de omleidings -URL’s verkrijgt van een telegramkanaal genaamd verkeersirect.
“De verstoring van de relatie van Dollyway met Lospollos markeert een belangrijk keerpunt in deze langlopende campagne,” merkte Sinegubko op. “Hoewel de operators opmerkelijk aanpassingsvermogen hebben aangetoond door snel over te stappen op alternatieve methoden voor het genereren van verkeers inkomsten, suggereren de snelle infrastructuurveranderingen en gedeeltelijke storingen een zekere mate van operationele impact.”
