Büyük ölçekli bir siber saldırı, ziyaretçileri Çince kumar platformlarına yönlendirmek için kötü niyetli JavaScript enjekte ederek yaklaşık 150.000 meşru web sitesini tehlikeye attı.
İlk olarak Şubat 2025’te 35.000 enfekte olmuş site ile tespit edilen kampanya, o zamandan beri önemli ölçüde genişledi ve gizlenmiş komut dosyalarından ve iframe enjeksiyonlarını ele geçirdi.
Saldırganlar gibi alanlar kullanıyor Zuizhongyj[.]com Bet365 gibi meşru bahis sitelerini taklit eden tam ekran kaplamaları gösteren yükleri barındırmak için.
Teknik taktikler
Tehdit oyuncusu, enjekte gibi kötü amaçlı komut dosyalarını gizlemek için HTML varlık kodlama ve onaltılık gizleme kullanır. Benign kod olarak gizlenmiş etiketler.
Kod çözülmüş komut dosyaları, gibi kumar alanlarına yönlendirmeleri ortaya çıkarır 551007T[.]CC Ve W88in[.]comÇin, Hong Kong ve ABD’de Çince konuşan kullanıcıları hedeflemek
Yükler, mobil uyumlu görünüm sporlarını uygular ve yönlendirmeleri uyarlamak için anahtar kelime algılama (örn., “Bet365” veya “太阳城”) kullanır.
Daha geniş sonuçlar
Rapora göre, bu kampanya, Godaddy’nin açıklanması da dahil olmak üzere diğer kötü amaçlı işlemleri yansıtıyor. Dollyway dünya hakimiyeti 2016’dan bu yana 20.000 siteyi tehlikeye atan kötü amaçlı yazılım.
Uzmanlar, web sitesi sahiplerini komut dosyalarını denetlemeye, yetkisiz IFREM’leri izlemeye ve katı içerik güvenliği politikalarını (CSP’ler) uygulamaya çağıran, artan müşteri tarafı saldırılarını uyarıyor.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.