根据Wordfence的Defiant威胁情报团队，正在进行的恶意广告活动针对即将到来的页面和维护模式WordPress插件中的未经身份验证的存储跨站脚本（XSS）漏洞。

现在修补的漏洞允许未经身份验证的攻击者将java script或HTML代码注入运行插件版本1.7.8或更低版本的WordPress网站的博客前端。

Wordfence检测到的恶意广告活动导致受损的WordPress网站“显示不需要的弹出广告，并将访问者重定向到恶意目的地，包括技术支持诈骗，恶意Android APK和粗略的制药广告。”

恶意重定向和弹出广告

用于感染站点的java script有效负载将从其他第三方域加载其他代码，以构建为受感染网站的访问者执行的完整恶意负载。

在每次有效负载执行时，目标将自动重定向到第二个域，该域通过检查浏览器的用户代理字符串，基于访问者使用的设备类型将它们发送到第三个目标URL，还使用cookie来跟踪返回的受害者。

有关这些攻击的内部工作原理的更多详细信息，以及包括恶意软件哈希，域和攻击IP地址在内的受损（IOC）指标，都是由恶意威胁情报团队在恶意广告活动报告结束时提供的。

以前的广告系列定位到WordPress网站

这不是一个新颖的活动，类似的活动利用社交战中的漏洞  ，黄铅笔视觉主题定制器，Easy WP SMTP和  Yuzo相关帖子  插件安装在成千上万的WordPress网站上。

在这些攻击的情况下，漏洞利用程序也使用托管在攻击者控制的域上的恶意脚本，同一个坏人在所有四个活动后面。

在2018年12月，一个由超过20,000个WordPress网站组成的大型僵尸网络被用来攻击和感染其他一些网站，这些网站一旦被入侵也被添加到僵尸网络中。

其运营商使用僵尸网络来强制其他WordPress站点的登录，超过500万次身份验证强力尝试被阻止，超过14,000个代理服务器用于匿名攻击期间检测到的C2命令。