Több ezer feltört weboldallal zajlik egy masszív Google SEO poisoning kampány

Hackerek egy csoportja olyan keresőoptimalizálási (SEO) csaló kampányt folytat, amiben már közel 15000 weboldal érintett.

A támadásokat először a Sucuri észlelte, és állításuk szerint a támadók a kompromittált webhelyeken ─ amelyek többsége WordPress oldal ─ körülbelül 20 000 fájlt használtak a spamkampányban.

A kutatók szerint a kampány célja az, hogy elegendő indexelt oldalt hozzanak létre, ezzel javítva a hamis Q&A oldalak megjelenését a keresőmotorokban, illetve ezzel készíthetik elő az oldalakat a jövőbeli felhasználásra (malware dropperek és adathalászat), mivel még egy rövid távú működés is a Google kereső első oldalán sok fertőzést eredményezhet. Egy alternatív forgatókönyv, hogy a tulajdonosok több forgalmat akarnak elérni, hogy hirdetési csalásokat hajtsanak végre.

A Sucuri jelentése szerint a hackerek módosítják a WordPress PHP fájljait (például ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, ‘wp-blog-header.php’), hogy a hamisított Q&A vitafórumokra való átirányításokat beinjektálják.

Egyes esetekben a támadók saját PHP fájlokat helyeznek el a célzott webhelyen, véletlenszerű vagy olyan megtévesztő fájlneveket használva, mint például a ‘wp-logln.php’.

A fertőzött vagy beinjektált fájlok olyan rosszindulatú kódot tartalmaznak, amely ellenőrzi, hogy a webhely látogatói be vannak-e jelentkezve a WordPress-be, és ha nem, akkor átirányítja őket a https://ois.is/images/logo-6[.]png címre. A böngészők azonban nem ezen az URL-en lévő képet töltik be, hanem egy JavaScript kódot, amely a reklámozott Q&A oldalra irányítja át a felhasználókat, továbbá az átirányítás miatt a forgalom legitimnek tűnhet, így megkerülhetővé válhatnak egyes biztonsági szoftverek.

A bejelentkezett, valamint a wp-login.php-t nyitva tartó felhasználók kizárásával elkerülik a gyanú felkeltését és a fertőzött oldal megtisztítását.

A PNG képfájl a ‘window.location.href’ funkciót használja a következő célzott domainek egyikére történő átirányításához:

  • en.w4ksa[.]com
  • peace.yomeat[.]com
  • qa.bb7r[.]com
  • hu.ajeel[.]store
  • qa.istisharaat[.]com
  • hu.photolovegirl[.]com
  • hu.poxnel[.]com
  • qa.tadalafilhot[.]com
  • questions.rawafedpor[.]com
  • qa.elbwaba[.]com
  • questions.firstgooal[.]com
  • qa.cr-halal[.]com
  • qa.aly2um[.]com

A fentiekhez a támadók több aldomaint is igénybe vesznek, a teljes lista itt található.

A legtöbb ilyen weboldal a Cloudflare mögé rejti a szervereit, így a Sucuri elemzői nem tudtak többet megtudni a kampány üzemeltetőiről és azt sem tudták azonosítani, hogy a kiberbűnözők hogyan törtek be az átirányításokhoz használt webhelyekre, azonban valószínűleg egy sebezhető bővítmény kihasználásával vagy a WordPress admin jelszavának brute force-olásával.

Az ilyen támadások ellen javasolt elvégezni az összes WordPress bővítmény és a CMS-ek legújabb verzióra történő frissítését, valamint aktiválni a kétfaktoros hitelesítést (2FA) a felhazsnálói bejelentkezésekhez.

(bleepingcomputer.com)