Οι χάκερ παραβιάζουν σχεδόν 15,000 ιστότοπους σε καμπάνια SEO Black Hat

Δημοσιεύθηκε στις: Νοέμβριος 11, 2022

Περίπου 15,000 ιστότοποι παραβιάστηκαν πρόσφατα σε μια καμπάνια βελτιστοποίησης μηχανών αναζήτησης με μαύρο καπέλο (SEO). Οι φορείς απειλών επεξεργάστηκαν χιλιάδες ιστότοπους για να ανακατευθύνουν τους χρήστες σε δόλια φόρουμ συζητήσεων για ερωτήσεις και απαντήσεις.

Η καμπάνια SEO ανακαλύφθηκε από την εταιρεία ασφάλειας ιστού Sucuri, η οποία πιστεύει ότι οι επιτιθέμενοι είχαν στόχο να ενισχύσουν την εξουσία των ψεύτικων ιστότοπών τους. Η εταιρεία είπε ότι οι περισσότεροι ιστότοποι που επηρεάστηκαν χρησιμοποιούσαν WordPress και ο καθένας φιλοξενούσε περίπου 20,000 αρχεία που τροφοδοτούσαν την κακόβουλη καμπάνια.

Αν και φαίνονται αβλαβείς, οι ψεύτικοι ιστότοποι Q&A μπορούν να εξακολουθήσουν να είναι οπλισμένοι και να χρησιμοποιηθούν για να απορρίψουν κακόβουλο λογισμικό ή να γίνουν ιστότοποι phishing. Οι φορείς απειλών θα μπορούσαν επίσης να χρησιμοποιήσουν την τεχνητά διογκωμένη κατάταξη των ιστοτόπων για να εξαπολύσουν μια επίθεση απόρριψης κακόβουλου λογισμικού.

Ωστόσο, οι ειδικοί βρήκαν ένα αρχείο "ads.txt" σε ορισμένους από τους αδίστακτους τομείς, το οποίο τους οδήγησε να πιστέψουν ότι οι εισβολείς μπορεί να θέλουν να δημιουργήσουν περισσότερη επισκεψιμότητα για να διαπράξουν απάτη σε διαφημίσεις.

Σύμφωνα με το Sucuri's αναφέρουν Την Τρίτη, οι χάκερ έκαναν ανακατευθύνσεις σε βασικά αρχεία του WordPress, αλλά και «μόλυναν κακόβουλα αρχεία .php που δημιουργήθηκαν από άλλες άσχετες καμπάνιες κακόβουλου λογισμικού». Περαιτέρω ανάλυση από την εταιρεία ασφάλειας ιστού αποκάλυψε ότι οι παράγοντες της απειλής μόλυναν επίσης «τυχαία ή ψευδο-νόμιμα ονόματα αρχείων».

Τα παραβιασμένα αρχεία φιλοξενούν κακόβουλο κώδικα που ανακατευθύνει τους επισκέπτες σε μια διεύθυνση URL εικόνας εάν δεν είναι συνδεδεμένοι στο WordPress. Ωστόσο, αντί να εμφανίζει μια εικόνα, η διεύθυνση URL χρησιμοποιεί JavaScript για να ανακατευθύνει τους χρήστες σε μια διεύθυνση URL κλικ αναζήτησης Google. Αυτό τους οδηγεί στη συνέχεια στον δόλιο ιστότοπο Q&A, ως αποτέλεσμα.

Αν και η Sucuri δεν βρήκε άμεσα εμφανή ευπάθεια πρόσθετων στην ανάλυσή της, δεν απέκλεισε ακόμα το ενδεχόμενο οι χάκερ να χρησιμοποιήσουν κιτ εκμετάλλευσης για να «διερευνήσουν τυχόν κοινά ευάλωτα στοιχεία λογισμικού».

Η εταιρεία ολοκλήρωσε την έκθεσή της παραθέτοντας συμβουλές μετριασμού για τους χρήστες έναντι της νέας καμπάνιας SEO για μαύρο καπέλο, που περιλαμβάνουν:

• Ενημέρωση του λογισμικού στον ιστότοπό σας στην πιο πρόσφατη έκδοση και εφαρμογή των πιο πρόσφατων ενημερώσεων κώδικα.
• Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων (2FA) για λογαριασμούς διαχειριστή.
• Αλλαγή όλων των κωδικών πρόσβασης διαχειριστή και σημείου πρόσβασης.
• Χρήση τείχους προστασίας για την προστασία του ιστότοπού σας.