侵害されたWordPressサイトが広告ネットワークに悪用される

Sucuriは1月24日(米国時間)、「Massive Campaign Uses Hacked WordPress Sites as Platform for Black Hat Ad Network」において、WordPressサイトをブラックハット広告ネットワークに流用する大規模なキャンペーンを発見したことを伝えた。脅威者によってハッキングされたWordPressサイトがさらに悪用され、悪意のあるWebサイトにリダイレクトするキャンペーンのプラットフォームフォームに使われていることが明らかとなった。

Sucuriの調査により4500以上のWordPressサイトがこのマルウェアキャンペーンの影響を受けていることが判明。感染したWebサイトを検査したところ、2種類のインジェクションが発見されている。1つは単純なスクリプトタグのインジェクションとされており、WordPressのメインファイルであるindex.phpの最上部に悪質なPHPコードが埋め込まれていたという。もう1つは難読化されたJavaScriptコードでwp-includes/jsにある.jsファイルで、jqueryという言葉がファイル名に含まれていることが確認されている。

このマルウェアキャンペーンで侵害されたWordPressサイトが最近、悪意のあるWebサイトにリダイレクトされるブラックハットの広告ネットワークに使われていることがわかった。例えば、偽のブラウザ更新サイトにリダイレクトしたり、技術サポート詐欺サイトにリダイレクトされたりするケースがあったことが報告されている。

このマルウェアキャンペーンの被害を受けたユーザーに対し、マルウェアの削除方法や削除後に行うべき作業が紹介されている。影響を受けたユーザーは提供された情報を参考に、WordPressサイトを回復させることが望まれている。また、ソフトウェアのインストールが促された際は注意を払い、公式Webサイトであることを常に確認する必要があると伝えている。