Найти в Дзене
Golang-news
234 подписчика

10 890 сайтов WordPress были взломаны для масштабной кампании по мошенничеству с AdSense

5
3 мин
Исследователи кибербезопасности из Sucuri недавно обнаружили критически важный бэкдор, которому удалось проникнуть на тысячи веб-сайтов за последние несколько месяцев. Группа злоумышленников, ответственных за кампанию вредоносного ПО под названием “black hat redirect”, расширила масштабы своей деятельности, включив более 70 поддельных доменов, имитирующих службы сокращения URL-адресов. Злоумышленникам удалось заразить этим вредоносным ПО значительное количество веб-сайтов , и в настоящее время их число превышает 10 890. Посетители перенаправляются на взломанные сайты Основной целью операции остается мошенничество с рекламой, которое включает использование незаконных методов для искусственного увеличения объема трафика на веб-страницы с идентификаторами AdSense и объявлениями Google. Эта деятельность осуществляется с целью получения дохода с помощью мошеннических средств. В последнее время различные продукты Google, такие как Google Ads, Google Home и Google Drive, использовались для ра
Оглавление

Исследователи кибербезопасности из Sucuri недавно обнаружили критически важный бэкдор, которому удалось проникнуть на тысячи веб-сайтов за последние несколько месяцев.

Группа злоумышленников, ответственных за кампанию вредоносного ПО под названием “black hat redirect”, расширила масштабы своей деятельности, включив более 70 поддельных доменов, имитирующих службы сокращения URL-адресов.

Злоумышленникам удалось заразить этим вредоносным ПО значительное количество веб-сайтов , и в настоящее время их число превышает 10 890.

Посетители перенаправляются на взломанные сайты

Основной целью операции остается мошенничество с рекламой, которое включает использование незаконных методов для искусственного увеличения объема трафика на веб-страницы с идентификаторами AdSense и объявлениями Google. Эта деятельность осуществляется с целью получения дохода с помощью мошеннических средств.

В последнее время различные продукты Google, такие как Google Ads, Google Home и Google Drive, использовались для распространения вредоносных программ и других вредоносных компонентов. Это было подтверждено фактами и вызвало опасения по поводу безопасности этих продуктов.

Дочерняя компания GoDaddy впервые обнаружила вредоносную активность в ноябре 2022 года, после того как компания была приобретена корпорацией GoDaddy.

Как и в случае с предыдущей атакой вредоносных программ, было замечено, что последняя волна вредоносных программ также пытается перенаправить интернет-трафик через поиск Google. Таким образом злоумышленники стремятся сделать перенаправленный трафик законным.

Злоупотребление сокращателями URL

Sucuri обнаружил , что все зараженные веб-сайты используют систему управления контентом WordPress. В результате легитимные файлы на веб-сайтах были повреждены запутанным PHP-скриптом.

Последняя кампания имеет важную особенность, которая отличает ее от предыдущих. В своих перенаправлениях он использует ссылки результатов поиска Bing, службу сокращения ссылок Twitter и Google.

Использование кампанией этих услуг предполагает стратегический шаг, направленный на то, чтобы избежать обнаружения мерами безопасности. Это указывает на расширение зоны действия злоумышленника.

Анализ атаки

Исследователи Sucuri недавно обнаружили более 75 доменов с псевдокороткими URL-адресами, которые связаны с перенаправленным трафиком. Это открытие было сделано в течение последних двух месяцев.

Важно подчеркнуть, что большинство обнаруженных вредоносных URL-адресов связаны с одной службой сокращения URL-адресов. Все некачественные веб-сайты Question2Answer полностью связаны с криптовалютой или технологией блокчейна.

-2

Было высказано предположение, что эта реклама может быть частью преднамеренного мошенничества с ICO, когда рекламируются новые криптовалюты.

Несмотря на отсутствие убедительных доказательств, исследователи уверены, что основной целью мошенничества с рекламой является искусственное увеличение трафика веб-сайта для показа рекламы Google и получения дохода с помощью идентификатора AdSense.

Известно, что эти вредоносные веб-сайты внедряют запутанный код в важные файлы, такие как wp-blog-header.php. Этот код может причинить вред, манипулируя поведением уязвимого веб-сайта и потенциально ставя под угрозу безопасность его пользователей.

Чтобы гарантировать, что вредоносное ПО не будет обнаружено и вылечено, этот код действует как бэкдор. Пытаясь скрыть себя, вредоносное ПО использует стратегию приостановки перенаправления на период от 2 до 6 часов всякий раз, когда администратор входит в систему или пользователь посещает зараженный сайт.

Это затрудняет обнаружение вредоносных программ администраторами веб-сайтов, так как их активность временно приостанавливается в таких случаях. Для сокрытия вредоносного кода используется кодировка Base64.

Используемые идентификаторы AdSense

  • en[.]rawafedpor[.]com: ca-pub-8594790428066018
  • плюс[.]cr-halal[.]com: ca-pub-3135644639015474
  • eq[.]yomeat[.]com: ca-pub-4083281510971702
  • новости[.]istisharaat[.]com: ca-pub-6439952037681188
  • en[.]firstgooal[.]com: ca-pub-5119020707824427
  • ust[.]aly2um[.]com: ca-pub-8128055623790566
  • btc[.]последние статьи[.]com: ca-pub-4205231472305856
  • спросите[.]elbwaba[.]com: ca-pub-1124263613222640, ca-pub-1440562457773158

Смягчение

  • Убедитесь, что все программное обеспечение обновлено до самой последней версии, и убедитесь, что оно исправлено.
  • Убедитесь, что в административной области вашего веб-сайта WordPress есть безопасность 2FA или другие ограничения доступа.
  • Немедленно смените все пароли к панели и базе данных.
  • Обязательно используйте надежные и уникальные пароли с несколькими вариантами.
  • Защитите свой сайт от атак, разместив его за брандмауэром.