Les escrocs du support technique frappent à nouveau, et cette fois, ils ont trouvé un moyen de compromettre des sites WordPress légitimes. Les experts de Sucuri ont signalé que les pirates insèrent des codes malveillants dans les fichiers .js, .php ainsi que dans les bases de données WP. Le code malveillant redirige les visiteurs du site vers des pages d’escroquerie qui affichent des pop-ups frauduleuses avec des messages effrayants. Généralement, ils indiquent que quelque chose ne va pas avec l’ordinateur de la victime.
Les sites Web compromis contenaient un morceau de code codé, qui était habituellement placé dans l’en-tête HTML. Alternativement, le code incluait un code qui pointe vers un code Javascript placé à l’extérieur.
Dans plusieurs scénarios, le code est placé dans l’en-tête HTML.
Dans plusieurs scénarios, le script se trouve dans la table « wp_posts » de la base de données WP.
Les fraudeurs trouvent de nouvelles idées depuis que Google a commencé à interdire les fausses annonces de support technique
La nouvelle vague d’attaque s’est déployée peu après l’annonce de Google visant à restreindre strictement les publicités des fournisseurs de support technique tiers. Le géant de la technologie a pris de telles mesures pour réduire le nombre de fraudeurs sur le marché de l’assistance technique.
En conséquence, les escrocs de l’assistance technique visent désormais les sites web légitimes et tentent de faire de la publicité en injectant illégalement des codes dans des sites réputés. Ils peuvent également tenter d’exploiter des plates-formes publicitaires légitimes pour se présenter comme des prestataires de services dignes de confiance.
Les attaquants font la promotion de fausses pages d’assistance traditionnelles incitant la victime à appeler l’assistance immédiatement. Habituellement, le pop-up trompeur comprend des lignes telles et similaires :
Windows Warning AlertMalicious Spyware/Riskware DetectedError# 0x80072ee7
Veuillez nous appeler dans les 5 prochaines minutes…
En outre, les experts soulignent que les escrocs ont attaqué non seulement sur les utilisateurs de sites web, mais aussi sur les annonceurs. Selon un rapport d’études, les escrocs « poussent des publicités pour certaines géolocalisations ainsi que pour des agents utilisateurs. » Il remarque aussi des campagnes malveillantes qui redirigent les victimes vers des sites injectant le mineur JavaScript CoinHive. Ces sites utilisent ensuite les ressources de l’ordinateur de la victime pour miner la crypto-monnaie Monero jusqu’à ce que la page malveillante soit fermée.