一个大规模的活动已经感染了超过4500个WordPress网站，这是一个长期运行的行动的一部分，据信至少从2017年就开始活跃。

这些感染涉及在一个名为 “track[.]violetlovelines[.com “的恶意域名上注入混淆的Javascript，旨在将访问者重定向到不需要的网站。最新的行动据说自2022年12月26日以来一直在活动。2022年12月初出现的前一波攻击影响了3600多个网站，而2022年9月记录的另一组攻击使7000多个网站陷入困境。

这些流氓代码被插入WordPress的index.php文件中，在过去的60天里，它已经从被攻击的网站上的33000多个文件中删除了这种修改。

“最近几个月，这个恶意软件活动已经逐渐从臭名昭著的假CAPTCHA推送通知骗局页面转向黑帽’广告网络’，在重定向到合法、粗制滥造和纯粹的恶意网站之间交替进行。

因此，当毫无戒心的用户登陆其中一个被黑的WordPress网站时，通过流量导向系统触发了一个重定向链，使受害者登陆到提供关于产品的粗略广告的页面上，讽刺地阻止了不需要的广告。

更令人不安的是，一个名为Crystal Blocker的广告拦截器的网站被设计成显示误导性的浏览器更新提醒，以欺骗用户根据所使用的网络浏览器安装其扩展。

该浏览器扩展被近11万用户使用，横跨谷歌浏览器（60,000+）、微软Edge（40,000+）和火狐（8,635）。

“而且，虽然这些扩展程序确实具有广告拦截功能，但不能保证它们的使用安全–在当前版本或未来的更新中可能包含未公开的功能，”辛格布科解释说。

一些重定向也属于完全邪恶的类别，受感染的网站充当了启动偷渡下载的渠道。

这还包括从Discord CDN检索一个被称为Raccoon Stealer的信息窃取恶意软件，它能够掠夺敏感数据，如密码、cookies、浏览器的自动填充数据和加密货币钱包。

这些发现是因为威胁者正在为各种合法软件建立外观相似的网站，通过谷歌搜索结果中的恶意广告分发窃取者和木马程序。

此后，谷歌已经介入，阻止参与重定向计划的一个流氓域名，将其归类为不安全的网站，在访问者的计算机上安装 “不需要的或恶意的软件”。

为了减轻这种威胁，建议WordPress网站所有者更改密码，更新已安装的主题和插件，并删除那些未使用的或被其开发者放弃的主题和插件。