Как выяснили специалисты, атаки на сайты начались в сентябре текущего года. Киберпреступники проэксплуатировали уязвимости в устаревших плагинах.
В некоторых случаях ссылка на вредоносный скрипт присутствует в таблице "wp_posts" базы данных WordPress, в которой хранятся все сообщения, страницы и их изменения, а также пункты меню навигации, мультимедийные файлы и контент, используемый плагинами. В ряде случаев злоумышленники даже не скрыли вредоносную ссылку.
Киберпреступники имитируют практику легитимных фирм и используют законные рекламные платформы якобы для продвижения своих услуг технической поддержки. Для того чтобы убедить пользователей обратиться за технической поддержкой их перенаправляют на страницу с предупреждением о том, что на компьютере обнаружено вредоносное ПО.