Hackers comprometeram milhares de sites Wordpress com plugins desatualizados, redirecionando os utilizadores para página de suporte informático de scam.

Para isto acontecer, os investigadores acreditam que os atacantes usaram diversos vetores para injetar os payloads que iriam causar o redirecionamento. Alguns administradores afirma que o código malicioso está presente na tabela wp_posts na base de dados do Wordpress.

Do lado do cliente, o que se observa é uma tag no header HTML ou uma linha de código que aponta para um código javascript externo:

Uma das técnicas mais recentemente encontradas consiste no design cada vez mais sofisticado e parecido com um serviço legítimo em que o utilizador é incitado a colocar o número de telemóvel.

Como acontece muitas vezes, e costuma ser o "modus operandi" das cadeias de phishing, diversas técnicas de comunicação do atacante com o utilizador final são utilizadas, nomeadamente limites de imposição, como "Ligue imediatamente" ou "Oferta válida apenas hoje". Tudo isto de forma a causar, por parte do utilizador, uma ação imediata.

Para mais informações sobre este campanha, podes consultar este link: https://www.bleepingcomputer.com/news/security/thousands-of-compromised-wordpress-sites-redirect-to-tech-support-scams/