Cercetătorii cred că intrușii obțin acces la aceste site-uri nu prin exploatarea defecțiunilor în WordPress CMS, ci prin vulnerabilități în teme și plugin-uri vechi. Atunci când obțin acces la un site, plantează un backdoor pentru accesare viitoare și fac modificări la codul site-ului. În majoritatea cazurilor, modifică fișierele PHP sau JavaScript pentru a încărca cod malițios, deși unii utilizatori au raportat că au văzut modificări efectuate și în tabelele de baze de date.
Cercetătorul de securitate Malwarebytes, Jerome Segura, a declarat că acest cod malițios filtrează utilizatorii care vizitează site-urile compromise și îi redirecționează pe unii spre escrocherii de asistență tehnică. Acesta a susținut că unele dintre escrocheriile de asistență tehnică la care utilizatorii ajung folosesc bug-ul Chrome „evil cursor” pentru a împiedica utilizatorii să închidă fila site-ului malițios, un truc pe care cercetătorul l-a identificat prima oară săptămâna trecută.
Campania de hacking a site-urilor WordPress pare să fi început în această lună, potrivit Sucuri, și s-a intensificat în ultimele zile, potrivit susținerilor lui Segura.
Căutarea pe Google doar a uneia dintre parțile codului JavaScript malițios adăugat pe site-urile WordPress dezvăluie doar o mică parte din numărul total de site-uri atacate. În acest caz, căutarea șirurilor a generat peste 2.500 de rezultate, inclusiv un site corporativ aparținând Expedia Group, compania-mamă din spatele portalului Expedia.
Săptămâna trecută, ZDNet a dezvăluit că atacatorii au scanat internetul în încercarea de a exploata o vulnerabilitate recentă într-un plugin popular WordPress.