به گزارش گرداب، به نقل از افتا؛ در هزاران وب‌سايت وردپرسی کد جاوا اسکريپتی نهفته است که آن‌ها را مستعد آسيب‌پذیری می‌کند. این کدها، کاربران را به سوی صفحه‌های کلاهبرداری مربوط به پشتيبانی فنی منحرف می‌کنند. کارشناسان حوزه امنيت به اين نتيجه رسيده‌اند که اين حملات از اوايل سپتامبر آغاز شده است و بدلیل آسیب‌پذیری افزونه‌های منسوخ اتفاق می‌افتد. پژوهشگران کدهای نهفته‌اي را مشاهده کرده‌اند که عموما در قسمت سرآیندHTML  نوشته شده‌اند و يا در يک کد جاوا اسکريپت خارجی هستند.

در برخی از موارد لينک اسکريپت بدافزار در جدول wp_posts پايگاه داده قرار گرفته است. برخی از صاحبان وب سايت‌ها اذعان داشته‌اند که جدول wp_posts آنها نيز آلوده شده است.

اين فعاليت‌ها ممکن است در نتيجه تصميم جديد گوگل مبنی بر ممنوع کردن تبليغات مربوط به پشتيبانی فنی از طرف اپراتورهای تاييدنشده باشد. کلاهبرداران در تلاشند رفتار کسب و کارهای قانونی را تقليد کنند و از چارچوب‌های تبليغات قانونی برای ترويج خدمات پشتيبانی فنی خود استفاده ‌کنند در نتیجه آنها در نظر مشتريان موجه بنظر می‌رسند. مشاهدات اخير نشان می‌دهند حمله‌ها بر اساس دستورالعمل‌های مشخصی انجام می‌شوند که کاربران را ترغيب به تماس برای پشتيبانی فنی می‌کند. به عنوان مثال کاربر به صفحه‌هايی منتقل می‌شود که در آنها هشداری در مورد ويروس‌های در حال اجرا روی رایانه نمایش داده می‌شوند و سپس شمارهای برای تماس رايگان با پشتيبانی فنی ارائه می‌کنند.

کارشناسان اشاره داشته‌اند که انتقال به صفحات جعلی پشتيبانی فنی تنها فعاليتي نيست که در اين حمله‌ها انجام می‌شود. در برخی موارد از آگهی‌ها نیز کلاهبرداری می‌شود و کاربران مواردی غير از آنچه که اگهی دهندگان ارائه داده‌اند را مشاهده مي‌کنند. همچنين آنها مشاهده کرده‌اند که در برخی از موارد کدهايی قرار داده که از منابع کاربران جهت استخراج ارزهای ديجيتال استفاده شده است. 

کارشناسان به صاحبان وبسايت‌هایی که مستعد اين حمله‌ها هستند نسبت به بررسی پايگاه داده‌ها و صفحات هشدار داده‌اند و توصیه کرده‌اند تا نسبت به پاکسازی اين کدها اقدام کنند.