詐欺サイトにリダイレクトされるPopuplink.js偽のプラグイン

0

WordPress 関連のセキュリティ会社のSucuriによると、詐欺サイトや偽のサイトにリダイレックアップデートされている、詐欺サイトにリダイレクトさせる WordPress マルウェアに感染したサイトが7月から増えているので注意が必要です。

このマルウェアは、 "index"あるいは "wp_update」という偽のプラグインであるtiny.cc URLショート君popuplink.js悪性ファイルに関連しています。

感染したページには、ページの<head>セクションに、次の2つのスクリプトが発見されます。

<script type='text/javascript' src='hxxps://<hacked-site>/wp-content/plugins/index/popuplink.js?ver=4.9.7'></script>

...

<script type="text/javascript">window.popuplink_cfg_field="wp_cfg_index";window.wp_cfg_index={"url":"hxxp:\/\/tiny[.]cc\/6zbfvy","switch":false,"cookie":{"name":"index_is_shown","expires":6000}}</script>

上記のサンプルでは、​​偽のプラグインの名前が "index"です。 2番目のスクリプトで "wp_cfg_index」変数を確認することができます。 プラグインの名前が「wp_updaet "の場合、変数名は、「wp_cfg_wp_update」になります。

Injectbody / InjectscrでPopuplinkに進化した偽のプラグイン

この偽のプラグインは、過去2月に紹介したInjectbody / Injectscrの新しい亜種です。 2月に出現して、頻繁にコードが変更されて出現するとですね。

新しい「popuplink "プラグインでは、コードが大きく変わったがInjectbody / Injectscr偽のプラグインと、いくつかのコードとコーディングスタイルパターンを共有します。 (詳細プラグインのコードは、 Sucuriブログ記事で確認することができます。)

プラグインコード
プラグインコード。 出典:Sucuri。

感染サイト数の減少

PublicWWWによると、最大3,000サイトがこのPupuplinkマルウェアに感染したが、ウェブマスターがこのマルウェアを把握して、サイトを治療することにより、今では、感染サイトの数が減っているそうです。

サイトがマルウェアに感染した場合は、次のような方法でサイト回復を試してみてください。

  1. ディスクから偽のプラグインを手動で削除します。 WordPress 管理者ページからは見えません。
  2. 管理者権限を持つ奇妙なユーザーがいることを確認して削除します。
  3. 모든 WordPress 管理者のパスワードを変更します。

おわりに

サイトがマルウェアに感染すると、評判にも深刻な打撃を着ることができるので、 WordPress、テーマ、プラグインを最新バージョンに更新して、セキュリティ、プラグインをインストールしてマルウェアに感染しないよう備えることをお勧め。

ソースがわからないパスを介しテーマやプラグインをダウンロードしてインストールする場合を時折表示します。 そのような場合、悪意のあるコードがテーマやプラグインに含まれている可能性がありますので、なるべくソースが確実経路を介してテーマやプラグインをダウンロードして使用することが望ましい。

メモ:

コメントを残す

コメントを入力してください!
名前を入力してください