Uma campanha massiva infectou mais de 4.500 sites WordPress como parte de uma operação de longa duração que se acredita estar ativa desde pelo menos 2017.

De acordo com a GoDaddy, as infecções envolvem a injeção de JavaScript ofuscado hospedado em um domínio malicioso chamado “track[.]violetlovelines[.]com”, projetado para redirecionar os visitantes para sites indesejados.

A operação mais recente está ativa desde 26 de dezembro de 2022, uma onda anterior observada no início de dezembro de 2022 afetou mais de 3.600 sites, enquanto outro conjunto de ataques registrado em setembro de 2022 envolveu mais de 7.000 sites.

Quando os usuários inocentes acessam um dos sites hackeados do WordPress, uma cadeia de redirecionamento é acionada por meio de um sistema de direção de tráfego, levando as vítimas a páginas que exibem anúncios incompletos sobre produtos que ironicamente bloqueiam anúncios indesejados.

Ainda mais preocupante, o site de um desses bloqueadores de anúncios chamado Crystal Blocker foi projetado para exibir alertas enganosos de atualização do navegador para induzir os usuários a instalar sua extensão, dependendo do navegador usado.

Para mitigar tais ameaças, os proprietários de sites WordPress são aconselhados a alterar senhas e atualizar temas e plugins instalados , bem como remover aqueles que não são usados ou abandonados por seus desenvolvedores.