Аналитики Sucuri выяснили масштабная хакерская кампания, который взломал около 15 000 веб-сайтов, в основном на WordPress. Злоумышленники используют скомпрометированные ресурсы для «черного SEO», прикрепляя около 20 000 файлов к каждому веб-сайту и перенаправляя посетителей на поддельные форумы вопросов и ответов.
Исследователи полагают, что злоумышленники используют эти файлы, чтобы попытаться увеличить количество проиндексированных страниц и таким образом повысить рейтинг своих поддельных страниц вопросов и ответов в поисковых системах. Судя по всему, эти сайты в будущем будут использоваться для распространения вредоносных программ или фишинговых кампаний, поскольку даже кратковременное попадание на первую страницу результатов поиска Google может привести ко многим заражениям. Возможен и другой сценарий, на который намекает найденный на фейковых ресурсах файл ads.txt: вероятно, операторы этой компании намерены привлекать трафик для рекламных афер.
Исследователи говорят, что на взломанных сайтах хакеры модифицируют PHP-файлы WordPress, включая wp-singup.php, wp-cron.php, wp-settings.php, wp-mail.php и wp-blog-header.php, и подделывают их. Вставка перенаправляет форумы вопросов и ответов. В некоторых случаях злоумышленники также размещают свои собственные файлы PHP на веб-сайтах жертв, используя случайные или псевдолегитимные имена, такие как Б. wp-logln.php.
Все эти файлы содержат вредоносный код, который проверяет, авторизован ли посетитель в WordPress, и если ответ отрицательный, пользователь перенаправляется. https://оис[.]is/images/logo-6.png. В этом PNG-файле используется функция window.location.href для создания перенаправления поиска Google на один из следующих целевых доменов:
- • de.w4ksa[.]ком
• Мир.Йомеат[.]ком
• qa.bb7r[.]ком
• Эн.аджил[.]Нагрузка
• qa.istisharat[.]ком
• de.photolovegirl[.]ком
• de.poxnel[.]ком
• ка.тадалафилхот[.]ком
• спросите.rawafedpor[.]ком
• ка.эльбваба[.]ком
• спросить.первая цель[.]ком
• qa.cr-халяль[.]ком
• qa.aly2um[.]ком
Поскольку злоумышленники используют множество поддоменов, полный список целевых доменов содержит более 1000 записей.
Таким образом, вместо изображения (logo-6.png) браузеры загружают JavaScript, который перенаправляет посетителя на URL-адрес, имитирующий щелчок по результату поиска Google, который, в свою очередь, уже ведет к сайту вопросов и ответов, используемому злоумышленниками. Так хакеры пытаются обмануть систему и сделать вид, что их сайты популярны, надеясь повысить свой рейтинг в результатах поиска.
Кроме того, такие перенаправления делают трафик более похожим на обычный трафик, вероятно, в обход некоторых решений безопасности.
В то же время нужно сказать, что с пользователем, вошедшим в WordPress, ничего не произойдет, так как администратор сайта не должен обнаружить никакой подозрительной активности. По крайней мере, тогда он сможет избавиться от вредоносных файлов PHP.
Поскольку большинство вредоносных сайтов скрывают свои серверы за Cloudflare, аналитики Sucuri не смогли узнать больше об операторах этой кампании. Судя по тому, что все веб-сайты используют одни и те же шаблоны и созданы с помощью автоматизированных инструментов, за этой масштабной кампанией явно стоит группа.
Исследователи также не смогли выяснить, как именно злоумышленники взламывали страницы жертв, которые затем использовали для своих редиректов. Скорее всего, хакеры используют уязвимые плагины или просто перебирают пароли администраторов.
https://xakep.ru/2022/11/10/black-hat-redirects/
