Bilgisayar korsanları, ziyaretçileri sahte Soru -Cevap tartışma forumlarına yönlendirmek için yaklaşık 15.000 web sitesinden ödün vererek büyük bir siyah şapka arama motoru optimizasyonu (SEO) kampanyası yürütüyor.
Saldırılar ilk olarak, her tehlikeye atılan sitenin arama motoru spam kampanyasının bir parçası olarak kullanılan yaklaşık 20.000 dosya içerdiğini söyleyen Sucuri tarafından tespit edildi.
Araştırmacılar, tehdit aktörlerinin amacının sahte Soru -Cevap sitelerinin otoritesini artırmak ve dolayısıyla arama motorlarında daha iyi sırada yer almak için yeterli endeksli sayfa oluşturmak olduğuna inanıyorlar.
Kampanya, bu siteleri, Google aramasının ilk sayfasında kısa vadeli bir işlem olarak bile, kötü amaçlı yazılımlar veya kimlik avı siteleri olarak kullanılmak üzere, birçok enfeksiyonla sonuçlanacaktır.
İniş sitelerinde bir 'ads.txt' dosyasının varlığına dayanan alternatif bir senaryo, sahiplerinin reklam sahtekarlığı yapmak için daha fazla trafik çekmek istemeleridir.
Sucuri, bilgisayar korsanlarının 'wp-singup.php', 'wp-cron.php', 'wp-settings.php', 'wp-post.php' ve 'wp-blog gibi WordPress PHP dosyalarını değiştirdiğini bildiriyor -Header.php ', yönlendirmeleri Fakes Soru -Cevap tartışma forumlarına enjekte etmek için.
Bazı durumlarda, saldırganlar 'wp-logln.php' gibi rastgele veya sahte yasal dosya adları kullanarak kendi PHP dosyalarını hedeflenen siteye bırakırlar.
Enfekte veya enjekte edilen dosyalar, web sitesi ziyaretçilerinin WordPress'e giriş yapıp yapmadığını kontrol eden kötü amaçlı kod içerir ve bunlar https://ois.is/images/logo-6.png URL'ye yönlendirir.
Ancak, tarayıcılara bu URL'den bir resim gönderilmeyecek, ancak kullanıcıları kullanıcıları tanıtılan Soru -Cevap sitesine yönlendiren bir Google Arama Tıklama URL'sine yönlendiren JavaScript yüklenecektir.
Google Arama Tıklama URL'sini kullanmak, arama sonuçlarındaki sıralamalarını artırmayı umarak, sitelerin popülermiş gibi görünmesini sağlamak için Google dizinindeki URL'lerde performans metriklerini artıracaktır.
Ayrıca, Google Search Click URL'leri aracılığıyla yeniden yönlendirmek, trafiğin daha meşru görünmesini ve muhtemelen bazı güvenlik yazılımlarını atlayarak daha meşru görünmesini sağlar.
Oturum açmış kullanıcıların hariç tutulması ve 'wp-login.php' de ayakta duranlar, site yöneticisini yeniden yönlendirmekten kaçınmayı amaçlamaktadır ve bu da şüphenin artmasına ve tehlikeye atılan sitenin temizlenmesine yol açacaktır.
PNG görüntü dosyası, Google arama yeniden yönlendirme sonucunu oluşturmak için 'window.location.href' işlevini aşağıdaki hedeflenen alanlardan birine kullanır:
Tehdit aktörleri yukarıdakiler için birden fazla alt alan kullanır, bu nedenle iniş alanlarının tam listesi buraya dahil edilemeyecek kadar uzundur (1.137 giriş). Listenin tamamını incelemek isteyenler burada bulabilirler.
Bu web sitelerinin çoğu sunucularını Cloudflare'nin arkasına saklıyor, bu nedenle Sucuri'nin analistleri kampanyanın operatörleri hakkında daha fazla bilgi edinebilirler.
Tüm siteler benzer web sitesi oluşturma şablonları kullandığından ve hepsi otomatik araçlar tarafından üretildiği görüldüğünden, hepsi aynı tehdit aktörlerine aittir.
Sucuri, tehdit aktörlerinin yeniden yönlendirme için kullanılan web sitelerini nasıl ihlal ettiğini belirleyemedi. Ancak, muhtemelen savunmasız bir eklentiden yararlanarak veya WordPress yönetici şifresini zorlayarak olur.
Bu nedenle, öneri tüm WordPress eklentilerini ve CMS'yi en son sürüme yükseltmek ve yönetici hesaplarında iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmektir.
Ace, milyonlarca ziyaretçiyle 42 futbol ve canlı TV korsanlığı web alanlarını ele geçiriyor
Kripto para birimi hırsızlığı için hapsedilen siber suçlular, ölüm tehditleri
Bilgisayar korsanları, kripto işlemlerini ele geçirmek için dolandırıcılık sitelerini ihlal ediyor
WPGateway WordPress eklentisinde sıfır gün aktif olarak saldırılarda sömürüldü
Magento Tedarik Zinciri Saldırıları İçin Bilgisayar Hackers Breach Software Satıcısı
Kaynak: Bleeping Computer