콜린 티에리
최근 검은 모자 SEO(검색 엔진 최적화) 캠페인에서 약 15,000개의 웹사이트가 손상되었습니다. 위협 행위자는 수천 개의 웹사이트를 편집하여 사용자를 사기성 Q&A 토론 포럼으로 리디렉션했습니다.
SEO 캠페인은 웹 보안 회사인 Sucuri에 의해 발견되었으며, 공격자가 가짜 웹사이트의 권위를 높이는 것을 목표로 하고 있다고 생각합니다. 회사는 가장 영향을 받은 웹사이트가 워드프레스를 사용하고 있으며 각 웹사이트는 악성 캠페인을 부추기는 약 20,000개의 파일을 호스팅한다고 밝혔습니다.
무해해 보이지만 가짜 Q&A 웹사이트는 여전히 무기화되어 멀웨어를 떨어뜨리거나 피싱 웹사이트가 되는 데 사용될 수 있습니다. 위협 행위자는 또한 웹사이트의 인위적으로 부풀려진 순위를 활용하여 악성코드를 떨어뜨리는 공격을 시작할 수 있습니다.
그러나 전문가들은 일부 불량 도메인에서 "ads.txt" 파일을 발견했으며, 이는 공격자가 광고 사기를 저지르기 위해 더 많은 트래픽을 생성하려고 할 수 있다고 믿게 했습니다.
수쿠리의 말에 따르면 신고 화요일에 해커는 핵심 WordPress 파일에 리디렉션을 삽입했지만 "관련 없는 다른 맬웨어 캠페인에 의해 생성된 감염된 악성 .php 파일"도 삽입했습니다. 웹 보안 회사의 추가 분석에 따르면 위협 행위자들은 "임의의 또는 합법적인 파일 이름"도 감염시켰습니다.
손상된 파일은 방문자가 WordPress에 로그인하지 않은 경우 이미지 URL로 리디렉션하는 악성 코드를 호스팅합니다. 그러나 URL은 이미지를 표시하는 대신 JavaScript를 사용하여 사용자를 Google 검색 클릭 URL로 리디렉션합니다. 그런 다음 결과적으로 사기성 Q&A 웹사이트로 연결됩니다.
Sucuri는 분석에서 즉각적으로 명백한 플러그인 취약점을 발견하지 못했지만 "일반적인 취약한 소프트웨어 구성 요소를 조사"하기 위해 익스플로잇 킷을 사용하는 해커를 여전히 배제하지 않았습니다.
회사는 새로운 검은 모자 SEO 캠페인에 대한 사용자를 위한 완화 팁을 나열하여 보고서를 마무리했습니다. 포함한다 :
- 웹사이트의 소프트웨어를 최신 버전으로 업데이트하고 최신 패치를 적용합니다.
- 관리자 계정에 대해 2단계 인증(XNUMXFA)을 활성화합니다.
- 모든 관리자 및 액세스 포인트 암호 변경.
- 방화벽을 사용하여 웹사이트를 보호합니다.
