Бесплатный плагин SuperCounters отправляет пользователей на страницу сервиса онлайн-знакомств.
Специалисты компании Sucuri нашли дополнительную закладку в счетчике посетителей сайта, установленном на более чем 4000 веб-ресурсов — в основном индийских. По словам экспертов, модифицированный JavaScript перенаправлял трафик на сервис онлайн-знакомств.
Исследователи обратили внимание на некорректные действия одной из веб-страниц, которая автоматически открывала всплывающее окно и перенаправляла некоторых посетителей на сайт службы интернет-знакомств mylove[.]is. Проведя анализ трафика, специалисты обнаружили, что несанкционированная активность указывает на виджет SuperCounters, отвечающий за подсчет посетителей ресурса.
Изучив загружаемый код, эксперты выяснили, что в нем прописан вызов скрипта pop.js, который загружает рекламный баннер и перенаправляет посетителя на сторонний сайт. Видоизмененный сценарий загружался непосредственно с сервера разработчика. Аналитики рекомендуют всем пользователям скомпрометированного виджета удалить его.
Ранее специалисты Sucuri обнаружили вредоносные функции в коде счетчика New Share Counts, который отображал количество ретвитов страницы сайта. Как оказалось, злоумышленники угнали брошенный плагин и подменили его скрипт, расположенный в облачном хранилище Amazon. В результате легитимное ПО вместо подсчета репостов отправляло жертву на фишинговый ресурс.
Подмена дистрибутива в официальном репозитории VPN-плагина Hola позволила злоумышленникам атаковать пользователей криптокошельков MyEtherWallet. Преступники анализировали трафик, передаваемый через анонимайзер, и, обнаружив обращение к хранилищу цифровой валюты, перенаправляли жертву на поддельную страницу авторизации. Как заявили разработчики Hola, их аккаунт в Chrome Web Store был взломан и в течение пяти часов контролировался киберпреступниками.