Sikkerhedsforskere hos C/side har for nylig rapporteret om en storstilet kampagne med overtagelse af hjemmesider, hvor ukendte aktører har overtaget 35.000 hjemmesider og brugt dem til at omdirigere besøgende til ondsindede sider og endda udsætte dem for malware.
En måned senere hævder holdet af forskere, at denne indsats er vokset yderligere og nu har kompromitteret hele 150.000 hjemmesider. Det skriver mediet TechRadar.
C/side mener, at kampagnen er relateret til den såkaldte Megalayer-udnyttelse, da denne er kendt for at distribuere malware på kinesisk, bruger de samme domænemønstre og de samme sløringsteknikker.
Selvom metoden har ændret sig en smule og nu har en 'let opdateret brugerflade', er formålet stadig det samme: angriberne bruger iFrame-injektioner til at vise et fuldskærmsoverlay i den besøgendes browser.
Overlayet viser enten forfalskede legitime betting-sider eller direkte falske spillesider. C/side har ikke oplyst, hvem de ondsindede aktører er, andet end at de muligvis er forbundet med Megalayer-udnyttelsen.
Det betyder også, at aktørerne sandsynligvis er kinesiske, da de kommer fra regioner, hvor mandarin er meget udbredt, og de endelige landingssider viser indhold under Kaiyun-mærket.
Der er heller ikke blevet oplyst, hvordan aktørerne har formået at kompromittere titusindvis af hjemmesider, men når de først har fået adgang, har de brugt det til at indsætte et ondsindet script fra en liste over bestemte hjemmesider.
"Når scriptet indlæses, overtager det fuldstændigt brugerens browser-vindue - ofte ved at omdirigere dem til sider, der promoverer en kinesisk-sproget spille- eller casino-platform," forklarede forskerne i den tidligere rapport.
For at mindske risikoen for overtagelse af hjemmesider anbefaler C/side, at webadministratorer gennemgår deres kildekode, blokerer ondsindede domæner eller benytter firewall-regler mod zuizhongjs[.]com, p11vt3[.]vip og tilknyttede underdomæner.
Det vil også være fornuftigt at holde øje med logfiler for uventede udgående forespørgsler til disse domæner.
