Кіберзлочинці експлуатують сайти на WordPress для впровадження шкідливих JavaScript-ін’єкцій, які перенаправляють користувачів на підозрілі ресурси. За даними дослідників Sucuri, кампанія включає модифікацію файлу “functions.php” у темах WordPress, де вставляється код з посиланнями на Google Ads для маскування. Цей код надсилає HTTP POST-запит на домен brazilc[.]com, який повертає динамічний payload: JavaScript-файл з porsasystem[.]com для перенаправлень і прихований iframe 1×1 піксель, що імітує активи Cloudflare, такі як “cdn-cgi/challenge-platform/scripts/jsd/main.js” для виявлення ботів. Домен porsasystem[.]com пов’язаний з системою розподілу трафіку Kongtuke (також відома як 404 TDS, Chaya_002, LandUpdate808 та TAG-124). Ланцюг зараження починається з відвідування скомпрометованого сайту, виконання “porsasystem[.]com/6m9x.js”, переходу до “porsasystem[.]com/js.php” та перенаправлення на сторінки стилю ClickFix для поширення шкідливого ПЗ. ClickFix – це техніка соціальної інженерії, що імітує перевірки браузера, як у Cloudflare, для обману користувачів. Крім того, дослідники Unit 42 з Palo Alto Networks описали набір IUAM ClickFix Generator, який дозволяє створювати кастомізовані фішингові сторінки, що імітують виклики CDN для блокування автоматизованих загроз. Цей інструмент маніпулює буфером обміну, виявляє ОС для адаптації та розгортає крадії інформації, такі як DeerStealer та Odyssey Stealer (для macOS). З кінця 2024 року Microsoft фіксує зростання комерційних ClickFix-будівельників на підземних форумах, включаючи Impact Solutions, що обіцяють обхід антивірусів і SmartScreen.

Вплив цих атак значний: вони знижують бар’єр входу для кіберзлочинців, дозволяючи масштабні мультиплатформові атаки без значних зусиль. Нова кампанія використовує техніку cache smuggling, де шкідливий скрипт не завантажує файли явно, а зберігає дані в кеші браузера як фальшиве зображення JPEG, яке насправді є ZIP-файлом. Це дозволяє уникнути виявлення, оскільки браузер кешує “зображення” заздалегідь. У задокументованому випадку сторінка маскується під перевірку відповідності Fortinet VPN, використовуючи тактику FileFix: обманює користувача відкрити File Explorer і вставити шкідливу команду в адресний рядок. Команда запускає PowerShell через conhost.exe, який витягує payload з кешу, створює заплановане завдання для запуску після запуску та підключається до C2-сервера для подальших команд. Рекомендації включають забезпечення безпеки WordPress-сайтів: оновлення плагінів, тем і ПЗ, використання сильних паролів, сканування на аномалії та несподівані адміністраторські акаунти для збереження доступу. Ці заходи допомагають виявляти та видаляти шкідливе ПЗ, запобігаючи повторним атакам.