Onderzoekers hebben ontdekt dat cybercriminelen nepberichten op gekaapte WordPress-sites plaatsen om zo ransomware te verspreiden. De criminelen injecteren JavaScript op de websites waarmee er een zogenaamd "Questions and Answers" forumbericht over de bestaande content van de site wordt geplaatst.

Dit forumbericht heeft betrekking op het onderwerp van de website en bevat een bericht dat van de websitebeheerder afkomstig zou zijn. Dit bericht bevat weer een link naar een zip-bestand dat de Sodinokibi-ransomware bevat, zo stelt een Canadese onderzoeker met het alias Aura op Twitter. Wanneer het bestand wordt geopend zal de ransomware allerlei bestanden op de computer versleutelen.

Het zogenaamde forumbericht wordt alleen getoond aan nieuwe bezoekers en bezoekers die de website enige tijd niet hebben bezocht. Zodra bezoekers de website herladen wordt de originele content van de site weergegeven, laat Bleeping Computer weten. Hoe de WordPress-sites precies worden overgenomen wordt niet door de onderzoeker gemeld. Dit weekend werd echter een nieuwe aanvalscampagne ontdekt waarbij aanvallers van kwetsbaarheden in minstens elf plug-ins gebruikmaken om WordPress-sites aan te vallen.