Хакеры проводят масштабную кампанию по поисковой оптимизации (SEO), компрометируя почти 15 000 веб-сайтов, чтобы перенаправить посетителей на поддельные форумы вопросов и ответов.
Атаки были впервые обнаружены Сукури, который говорит, что каждый скомпрометированный сайт содержит около 20 000 файлов, используемых в рамках кампании спама в поисковых системах, причем большинство сайтов являются WordPress.
Исследователи полагают, что цель злоумышленников – создать достаточно проиндексированных страниц, чтобы повысить авторитет поддельных сайтов вопросов и ответов и, таким образом, повысить рейтинг в поисковых системах.
Фальшивый сайт вопросов и ответов, продвигаемый этой кампанией (Sucuri)
Кампания, вероятно, нацеливает эти сайты на будущее использование в качестве дропперов вредоносных программ или фишинговых сайтов, поскольку даже кратковременная работа на первой странице поиска Google может привести к многочисленным заражениям.
Альтернативный сценарий, основанный на существовании ‘ads.txt “информация о целевых сайтах заключается в том, что их владельцы хотят привлечь больше трафика для проведения мошенничества с рекламой.
Таргетинг на сайты WordPress
Sucuri сообщает, что хакеры модифицируют PHP-файлы WordPress, такие как ‘wp-singup.php ‘, ‘wp-cron.php ‘, ‘wp-settings.php ‘, ‘wp-mail.php ‘, и ‘wp-blog-header.php ‘, чтобы ввести редиректы на фейковые форумы вопросов и ответов.
В некоторых случаях злоумышленники размещают свои собственные PHP-файлы на целевом сайте, используя случайные или псевдозаконные имена файлов, такие как ‘wp-logln.php “.
Вредоносный код в одном из зараженных файлов (Sucuri)
Зараженные или внедренные файлы содержат вредоносный код, который проверяет, вошли ли посетители веб-сайта в WordPress, и, если нет, перенаправляет их на https://ois.is/images/logo-6.png URL-АДРЕС.
Однако браузеры не будут отправлять изображение с этого URL-адреса, а вместо этого будут загружены JavaScript, которые перенаправляют пользователей на URL-адрес поиска Google, который перенаправляет пользователей на продвигаемый сайт вопросов и ответов.
Код для создания поддельного события поиска Google (Sucuri)
Использование URL-адреса для поиска в Google, вероятно, повысит показатели эффективности URL-адресов в индексе Google, чтобы создать впечатление, что сайты популярны, в надежде повысить их рейтинг в результатах поиска.
Кроме того, перенаправление по URL-адресам поиска Google делает трафик более легитимным, возможно, в обход некоторых программ безопасности.
Исключение зарегистрированных пользователей, а также тех, кто стоит на ‘wp-login.php ,” направлен на то, чтобы избежать перенаправления администратора сайта, что привело бы к возникновению подозрений и очистке скомпрометированного сайта.
Файл изображения PNG использует “окно.Расположение.функция href для генерации результата перенаправления поиска Google на один из следующих целевых доменов:
ru.w4ksa[.]com
peace.yomeat[.]com
qa.bb7r[.]com
ru.ajeel[.]магазин
qa.istisharaat[.]com
ru.photolovegirl[.]com
ru.poxnel[.]com
qa.tadalafilhot[.]com
вопросы.rawafedpor[.]com
qa.elbwaba[.]com
вопросы.firstgooal[.]com
qa.cr-halal[.]com
qa.aly2um[.]com
Для вышеуказанных угроз злоумышленники используют несколько поддоменов, поэтому полный список целевых доменов слишком длинный, чтобы включать его здесь (1137 записей). Те, кто заинтересован в просмотре полного списка, могут найти его здесь.
Большинство этих сайтов скрывают свои серверы за Cloudflare, поэтому аналитики Sucuri не смогли узнать больше об операторах кампании.
Поскольку все сайты используют похожие шаблоны для создания сайтов, и все они, похоже, были созданы с помощью автоматических инструментов, вполне вероятно, что все они принадлежат одним и тем же субъектам угрозы.
Сукури не смог определить, как злоумышленники взломали сайты, используемые для перенаправления. Однако, скорее всего, это происходит из-за использования уязвимого плагина или взлома пароля администратора WordPress.
Следовательно, рекомендуется обновить все плагины WordPress и CMS веб-сайта до последней версии и активировать двухфакторную аутентификацию (2FA) для учетных записей администраторов.
Источник: www.bleepingcomputer.com
Просмотров: 3
