詐欺サイトにリダイレクトされるPopuplink.js偽のプラグイン

WordPress 関連のセキュリティ会社のSucuriによると、詐欺サイトや偽のサイトにリダイレックアップデートされている、詐欺サイトにリダイレクトさせる WordPress マルウェアに感染したサイトが7月から増えているので注意が必要です。

このマルウェアは、「index」または「wp_update」という偽のプラグインであるtiny.cc URLショートナーとpopuplink.js悪意のあるファイルに関連しています。

感染したページには、ページのセクションには、次のXNUMXつのスクリプトが発見されます。

<script type='text/javascript' src='hxxps://<hacked-site>/wp-content/plugins/index/popuplink.js?ver=4.9.7'></script>

...

<script type="text/javascript">window.popuplink_cfg_field="wp_cfg_index";window.wp_cfg_index={"url":"hxxp:\/\/tiny[.]cc\/6zbfvy","switch":false,"cookie":{"name":"index_is_shown","expires":6000}}</script>

上記のサンプルでは、​​偽プラグインの名前は「index」です。 XNUMX番目のスクリプトで "wp_cfg_index"変数を確認できます。 プラグイン名が「wp_updaet」の場合、その変数名は「wp_cfg_wp_update」になります。

Injectbody / InjectscrでPopuplinkに進化した偽のプラグイン

この偽のプラグインは、去る2月に紹介したInjectbody / Injectscrの新しい亜種です。 2月に出現して、頻繁にコードが変更されて出現するとですね。

新しい「popuplink」プラグインではコードが大きく変わりましたが、Injectbody / Injectscr偽のプラグインといくつかのコードとコーディングスタイルパターンを共有します。 (詳細なプラグインコードは Sucuriブログ記事で確認することができます。)

プラグインコード
プラグインコード。 出典:Sucuri。

感染サイト数の減少

PublicWWWによると、最大3,000個のサイトがこのPupuplinkマルウェアに感染したが、ウェブマスターがこのマルウェアを把握して、サイトを治療することにより、今では、感染サイトの数が減っているそうです。

サイトがマルウェアに感染した場合は、次のような方法でサイト回復を試してみてください。

  1. ディスクから偽のプラグインを手動で削除します。 WordPress 管理者ページからは見えません。
  2. 管理者権限を持つ奇妙なユーザーがいることを確認して削除します。
  3. 모든 WordPress 管理者のパスワードを変更します。

最後に、

サイトがマルウェアに感染すると、評判にも深刻な打撃を着ることができるので、 WordPress、テーマ、プラグインを最新バージョンに更新して、セキュリティ、プラグインをインストールしてマルウェアに感染しないよう備えることをお勧め。

ソースがわからないパスを介しテーマやプラグインをダウンロードしてインストールする場合を時折表示します。 そのような場合、悪意のあるコードがテーマやプラグインに含まれている可能性がありますので、なるべくソースが確実経路を介してテーマやプラグインをダウンロードして使用することが望ましい。

メモ:


コメントを残す

*メールアドレスは公開されません。