一场大规模的违法活动正在利用被黑客入侵的WordPress网站，将受害者重定向到技术支持骗局、成人约会、网络钓鱼网站或驾车下载攻击。背后的黑客经过多次重定向和合法下载，确保他们的恶意有效载荷很难被发现。

活动数量激增

根据Sucuri的研究人员调查，与恶意域名violetlovelines.com相关的WordPress网站感染激增。

该活动自2022年12月26日以来一直活跃，根据调查结果显示，截至目前，受其影响的网站超过5600家。

最近，这项运动已经开始变化，并逐渐从虚假CAPTCHA推送通知诈骗页面开始转向黑帽子广告网络。

这些恶意广告网络将受害者重定向到合法、隐蔽的网站或恶意网站，并且诱骗他们下载恶意软件。

不同级别的攻击

该活动经历了不同的阶段来部署脚本注入、交通导向系统（TDS）、重定向链和广告网络。

威胁参与者使用两种常见类型的注入——简单的脚本标记注入或模糊的JavaScript注入。

重定向导致攻击者操作的其他子域上的脚本，进而导致恶意广告网络或TDS的多个域之一。

TDS充当受感染的WordPress网站的广告网络，而这些网站属于游戏、新闻、电子商务、药物和加密货币等企业。

这些不需要的广告吸引用户下载合法的应用程序，如Clean Blocker和Crystal Blocker，或可能是隐蔽的浏览器扩展，如PureTheWeb、Pureweb、Wind Blocker和Quantum Ad Blocker。

此外，这些广告向网站访问者显示Firefox、Google Chrome和Microsoft Edge的虚假浏览器更新警告。

最终目标

这些广告的最终目标是分发恶意软件，以窃取保存的凭据，耗尽加密货币钱包，并劫持受感染计算机上所打开的浏览器会话。

在一次事件中，威胁参与者分发了浣熊盗猎者并且劫持了Twitter、Substack、Gmail、Discord和加密货币钱包。

此外，威胁行为者还积极利用付费广告，经常利用被劫持的Gmail账户和被盗的信用卡信息，以此来诱骗用户下载此类恶意软件。