Hackerek egy csoportja olyan keresőoptimalizálási (SEO) csaló kampányt folytat, amiben már közel 15000 weboldal érintett.
A támadásokat először a Sucuri észlelte, és állításuk szerint a támadók a kompromittált webhelyeken ─ amelyek többsége WordPress oldal ─ körülbelül 20 000 fájlt használtak a spamkampányban.
A kutatók szerint a kampány célja az, hogy elegendő indexelt oldalt hozzanak létre, ezzel javítva a hamis Q&A oldalak megjelenését a keresőmotorokban, illetve ezzel készíthetik elő az oldalakat a jövőbeli felhasználásra (malware dropperek és adathalászat), mivel még egy rövid távú működés is a Google kereső első oldalán sok fertőzést eredményezhet. Egy alternatív forgatókönyv, hogy a tulajdonosok több forgalmat akarnak elérni, hogy hirdetési csalásokat hajtsanak végre.
A Sucuri jelentése szerint a hackerek módosítják a WordPress PHP fájljait (például ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, ‘wp-blog-header.php’), hogy a hamisított Q&A vitafórumokra való átirányításokat beinjektálják.
Egyes esetekben a támadók saját PHP fájlokat helyeznek el a célzott webhelyen, véletlenszerű vagy olyan megtévesztő fájlneveket használva, mint például a ‘wp-logln.php’.
A fertőzött vagy beinjektált fájlok olyan rosszindulatú kódot tartalmaznak, amely ellenőrzi, hogy a webhely látogatói be vannak-e jelentkezve a WordPress-be, és ha nem, akkor átirányítja őket a https://ois.is/images/logo-6[.]png címre. A böngészők azonban nem ezen az URL-en lévő képet töltik be, hanem egy JavaScript kódot, amely a reklámozott Q&A oldalra irányítja át a felhasználókat, továbbá az átirányítás miatt a forgalom legitimnek tűnhet, így megkerülhetővé válhatnak egyes biztonsági szoftverek.
A bejelentkezett, valamint a wp-login.php-t nyitva tartó felhasználók kizárásával elkerülik a gyanú felkeltését és a fertőzött oldal megtisztítását.
A PNG képfájl a ‘window.location.href’ funkciót használja a következő célzott domainek egyikére történő átirányításához:
- en.w4ksa[.]com
- peace.yomeat[.]com
- qa.bb7r[.]com
- hu.ajeel[.]store
- qa.istisharaat[.]com
- hu.photolovegirl[.]com
- hu.poxnel[.]com
- qa.tadalafilhot[.]com
- questions.rawafedpor[.]com
- qa.elbwaba[.]com
- questions.firstgooal[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
A fentiekhez a támadók több aldomaint is igénybe vesznek, a teljes lista itt található.
A legtöbb ilyen weboldal a Cloudflare mögé rejti a szervereit, így a Sucuri elemzői nem tudtak többet megtudni a kampány üzemeltetőiről és azt sem tudták azonosítani, hogy a kiberbűnözők hogyan törtek be az átirányításokhoz használt webhelyekre, azonban valószínűleg egy sebezhető bővítmény kihasználásával vagy a WordPress admin jelszavának brute force-olásával.
Az ilyen támadások ellen javasolt elvégezni az összes WordPress bővítmény és a CMS-ek legújabb verzióra történő frissítését, valamint aktiválni a kétfaktoros hitelesítést (2FA) a felhazsnálói bejelentkezésekhez.
