Prima di procedere
Una vasta campagna di attacchi informatici sta colpendo la rete globale, compromettendo un gran numero di siti web con uno script JavaScript malevolo progettato per promuovere piattaforme di gioco d'azzardo cinesi. Il fenomeno, ancora in corso, sta destando preoccupazione tra esperti di sicurezza informatica e autorità digitali internazionali.
Secondo un'analisi del ricercatore di sicurezza Himanshu Anand per l'azienda c/side, la tecnica utilizzata nell'attacco consiste nell'iniezione di codice JavaScript e iframe nei siti compromessi, che poi visualizzano una sovrapposizione a schermo intero reindirizzando gli utenti verso pagine di casinò online e scommesse, prevalentemente in lingua cinese. Questi elementi nascondono i contenuti originali del sito visitato, creando interfacce simili a quelle di piattaforme riconosciute come Bet365, attraverso loghi e marchi falsificati.
Ad oggi, sono stati identificati più di 135.000 siti con questo tipo di payload, secondo le stime di PublicWWW . I reindirizzamenti avvengono tramite una rete distribuita su più domini, tra cui “zuizhongyj[.]com”, collegati a reti di affiliazione criminali e sistemi di reindirizzamento del traffico.Un attacco sofisticato e in continua evoluzione
Il codice JavaScript viene iniettato dinamicamente nei siti WordPress, sfruttando vulnerabilità nei plugin, disattivando strumenti di sicurezza e rubando credenziali amministrative. Una volta infettato, il sito diventa parte di una rete distribuita che funge da sistema di direzione del traffico, indirizzando gli utenti verso contenuti ingannevoli.
Dietro a questa operazione si cela VexTrio, una delle reti criminali più conosciute nel panorama del cybercrimine affiliato, che utilizza tecniche avanzate come algoritmi per la generazione di domini, DNS dinamici e broker di traffico. Le visite ai siti compromessi vengono monetizzate attraverso piattaforme pubblicitarie come PropellerAds e anche tramite link malevoli collegati a LosPollos, un’altra rete implicata nella diffusione di contenuti fraudolenti.
Il caso DollyWay e la risposta di GoDaddy
Parallelamente, il provider GoDaddy ha reso noti i risultati di un’indagine sulla campagna DollyWay World Domination, attiva dal 2016 e responsabile della compromissione di migliaia di siti web. Solo nel febbraio 2025, oltre 10.000 siti WordPress sono stati colpiti da questo schema.
Secondo l’esperto Denis Sinegubko, DollyWay sfrutta gli stessi meccanismi di direzione del traffico e si affida a siti infetti come nodi di comando e controllo. Gli script di reindirizzamento sono stati distribuiti persino tramite Telegram, attraverso un canale chiamato “trafficredirect”. Recentemente, alcuni server C2/TDS sono stati disattivati, segno di una possibile disintegrazione dell'infrastruttura.
Questa massiccia ondata di attacchi dimostra come il gioco d'azzardo online continui a essere uno degli strumenti preferiti dai criminali informatici per attrarre traffico, monetizzare visite e, in molti casi, perpetrare altre truffe. L’uso di marchi noti come esca, unito a tecniche avanzate di offuscamento e social engineering, rende questi attacchi particolarmente insidiosi.
Gli esperti raccomandano massima prudenza, aggiornamenti costanti dei plugin e l’utilizzo di strumenti di sicurezza robusti per monitorare e prevenire iniezioni lato server. Nel frattempo, la comunità della cybersecurity rimane in allerta, consapevole che i criminali digitali continueranno ad adattarsi e sfruttare ogni vulnerabilità disponibile per promuovere piattaforme di gioco non autorizzate e contenuti fraudolenti.
Fonte: Jamma.tv
