Kampanye berkelanjutan yang menyusup ke situs web yang sah dengan javascript berbahaya untuk mempromosikan platform perjudian berbahasa Cina telah menggelembung untuk mengkompromikan sekitar 150.000 situs hingga saat ini.
“Aktor ancaman telah sedikit mengubah antarmuka mereka tetapi masih mengandalkan suntikan iframe untuk menampilkan overlay layar penuh di browser pengunjung,” kata analis keamanan C/Side Himanshu Anand dalam analisis baru.
Pada saat penulisan, ada lebih dari 135.800 situs yang berisi muatan Javascript, per statistik dari PublicWWW.
Seperti yang didokumentasikan oleh perusahaan keamanan situs web bulan lalu, kampanye ini melibatkan menginfeksi situs web dengan javascript berbahaya yang dirancang untuk membajak jendela browser pengguna untuk mengarahkan pengunjung situs ke halaman yang mempromosikan platform judi.
Pengalihan telah ditemukan terjadi melalui JavaScript yang di -host di lima domain yang berbeda (misalnya, “Zuizhongyj[.]com “) Itu, pada gilirannya, melayani muatan utama yang bertanggung jawab untuk melakukan pengalihan.
C/Side mengatakan juga mengamati varian lain dari kampanye yang memerlukan skrip yang menyuntikkan dan elemen iframe dalam HTML menyamar sebagai situs web taruhan yang sah seperti Bet365 dengan memanfaatkan logo dan branding resmi.
Tujuan akhirnya adalah untuk melayani overlay layar penuh menggunakan CSS yang menyebabkan halaman pendaratan judi jahat ditampilkan saat mengunjungi salah satu situs yang terinfeksi sebagai pengganti konten web yang sebenarnya.
“Serangan ini menunjukkan bagaimana para aktor ancaman terus beradaptasi, meningkatkan jangkauan mereka dan menggunakan lapisan kebingungan baru,” kata Anand. “Serangan sisi klien seperti ini sedang meningkat, dengan semakin banyak temuan setiap hari.”
Pengungkapan itu datang ketika GoDaddy mengungkapkan rincian operasi malware yang sudah berjalan lama dijuluki Dollyway World Domination yang telah membahayakan lebih dari 20.000 situs web secara global sejak 2016. Pada Februari 2025, lebih dari 10.000 situs WordPress unik telah menjadi korban skema.
“Iterasi saat ini […] Terutama menargetkan pengunjung situs WordPress yang terinfeksi melalui skrip pengalihan yang disuntikkan yang menggunakan jaringan terdistribusi dari node sistem arah lalu lintas (TDS) yang di -host di situs web yang dikompromikan, “kata peneliti keamanan Denis Sinegubko.
“Script ini mengarahkan pengunjung situs ke berbagai halaman penipuan melalui jaringan broker lalu lintas yang terkait dengan Vextrio, salah satu jaringan afiliasi penjahat cyber terbesar yang diketahui yang memanfaatkan teknik DNS yang canggih, sistem distribusi lalu lintas, dan algoritma pembuatan domain untuk memberikan malware dan scam di seluruh jaringan global.”
Serangan dimulai dengan menyuntikkan skrip yang dihasilkan secara dinamis ke situs WordPress, yang pada akhirnya mengarahkan pengunjung ke tautan Vextrio atau Lospollos. Kegiatan ini juga dikatakan telah menggunakan jaringan iklan seperti baling -baling untuk memonetisasi lalu lintas dari situs yang dikompromikan.
Suntikan berbahaya di sisi server difasilitasi melalui kode PHP yang dimasukkan ke dalam plugin aktif, sementara juga mengambil langkah-langkah untuk menonaktifkan plugin keamanan, menghapus pengguna admin berbahaya, dan memicu kredensial admin yang sah untuk memenuhi tujuan mereka.
Godaddy telah mengungkapkan bahwa Dollyway TDS memanfaatkan jaringan terdistribusi dari situs WordPress yang dikompromikan sebagai node TDS dan Command-and-Control (C2), mencapai 9-10 juta tayangan halaman bulanan. Selain itu, URL pengalihan VEXTRIO telah ditemukan diperoleh dari jaringan broker lalu lintas Lospollos.
Sekitar November 2024, operator Dollyway dikatakan telah menghapus beberapa server C2/TDS mereka, dengan skrip TDS memperoleh URL pengalihan dari saluran telegram bernama Trafficredirect.
“Gangguan hubungan Dollyway dengan Lospollos menandai titik balik yang signifikan dalam kampanye jangka panjang ini,” kata Sinegubko. “Sementara operator telah menunjukkan kemampuan beradaptasi yang luar biasa dengan dengan cepat beralih ke metode monetisasi lalu lintas alternatif, perubahan infrastruktur yang cepat dan pemadaman parsial menunjukkan beberapa tingkat dampak operasional.”
