کالین تیری
اخیراً در یک کمپین بهینه سازی موتور جستجوی کلاه سیاه (SEO) حدود 15,000 وب سایت در معرض خطر قرار گرفتند. عوامل تهدید هزاران وبسایت را ویرایش کردند تا کاربران را به انجمنهای گفتگوی جعلی پرسش و پاسخ هدایت کنند.
کمپین سئو توسط شرکت امنیت وب Sucuri کشف شد که معتقد است هدف مهاجمان افزایش اعتبار وب سایت های جعلی خود بوده است. این شرکت گفت که بیشتر وب سایت های تحت تأثیر از وردپرس استفاده می کنند و هر کدام حدود 20,000 فایل را میزبانی می کنند که به این کمپین مخرب دامن می زند.
در حالی که آنها بی ضرر به نظر می رسند، اما هنوز هم می توان از وب سایت های جعلی پرسش و پاسخ استفاده کرد و برای حذف بدافزارها یا تبدیل شدن به وب سایت های فیشینگ استفاده کرد. عوامل تهدید همچنین می توانند از رتبه بندی مصنوعی وب سایت ها برای راه اندازی یک حمله حذف بدافزار استفاده کنند.
با این حال، کارشناسان یک فایل "ads.txt" را در برخی از دامنه های سرکش پیدا کردند، که آنها را به این باور رساند که مهاجمان ممکن است بخواهند ترافیک بیشتری برای انجام تقلب در تبلیغات ایجاد کنند.
با توجه به Sucuri گزارش روز سهشنبه، هکرها تغییر مسیرهایی را در فایلهای اصلی وردپرس تزریق کردند، اما همچنین «فایلهای مخرب .php ایجاد شده توسط سایر کمپینهای بدافزار نامرتبط را نیز آلوده کردند». تجزیه و تحلیل بیشتر توسط شرکت امنیت وب نشان داد که عاملان تهدید همچنین «نام فایلهای تصادفی یا شبه مشروع» را آلوده کردهاند.
فایل های در معرض خطر میزبان کدهای مخربی هستند که بازدیدکنندگان را در صورت عدم ورود به وردپرس به URL تصویر هدایت می کند. با این حال، URL به جای نمایش یک تصویر، از جاوا اسکریپت برای هدایت کاربران به URL کلیک جستجوی گوگل استفاده می کند. در نتیجه، آنها را به وب سایت پرسش و پاسخ جعلی هدایت می کند.
در حالی که Sucuri هیچ آسیبپذیری آشکار افزونهای را در تجزیه و تحلیل خود پیدا نکرد، اما همچنان استفاده هکرها از کیتهای بهرهبرداری را برای «تحقیق برای هر گونه مؤلفه نرمافزار آسیبپذیر رایج» رد نکرد.
این شرکت گزارش خود را با فهرست کردن نکات کاهشی برای کاربران در برابر کمپین جدید سئو کلاه سیاه به پایان رساند. که شامل:
- به روز رسانی نرم افزار در وب سایت خود به آخرین نسخه و اعمال آخرین وصله ها.
- فعال کردن احراز هویت دو مرحله ای (2FA) برای حساب های مدیریت.
- تغییر همه رمزهای عبور مدیر و نقطه دسترسی.
- استفاده از فایروال برای محافظت از وب سایت