Hakeri koji stoje iza black hat preusmjeravanja malicioznog softvera su proširili svoju kampanju kako bi koristili više od 70 lažnih domena koji oponašaju skraćivače URL-ova i zarazili preko 10.800 web stranica.
“Glavni cilj je i dalje prevara u reklamama umjetnim povećanjem prometa na stranicama koje sadrže AdSense ID za Google oglase za generisanje prihoda” rekao je istraživač Sucuri Ben Martin u izvještaju objavljenom prošle sedmice.
Kompanija u vlasništvu GoDaddy-a prvi put je otkrila detalje o malicioznoj aktivnosti u novembru 2022. godine.
Kampanja, za koju se navodi da je aktivna od septembra prošle godine, organizovana je kako bi se posjetioci preusmjerili na kompromitovane WordPress stranice i na lažne Q&A portale. Čini se da je cilj povećati autoritet neželjenih stranica u rezultatima pretraživača.
“Moguće je da hakeri jednostavno pokušavaju uvjeriti Google da stvarni ljudi sa različitih IP adresa koji koriste različite pretraživače klikću na njihove rezultate pretrage” rekao je tada Sucuri. “Ova tehnika umjetno šalje Google signale da te stranice dobro kotiraju u pretraživanju.”
Ono što čini poslednju kampanju značajnom je korišćenje linkova rezultata pretrage Bing i Twitter-ove usluge skraćivanja linkova (t[.]co), zajedno sa Google-om, u njihovim preusmeravanjima, što ukazuje na proširenje uticaja hakera.
Takođe se koriste pseudokratki URL domeni koji se maskiraju kao popularni alati za skraćivanje URL-ova kao što su Bitly, Cuttly ili ShortURL, ali u stvarnosti usmjeravaju posjetitelje na skicirane stranice za pitanja i odgovore.
Sucuri je rekao da su preusmjeravanja dospjela na stranice za pitanja i odgovore na kojima se raspravljalo o blockchain-u i kriptovalutama, a URL domeni su sada hostovani na DDoS-Guard-u, ruskom provajderu internetske infrastrukture koji se našao pod skenerom za pružanje neprobojnih hosting usluga.
“Neželjena preusmjeravanja putem lažnog kratkog URL-a na lažne stranice za pitanja i odgovore rezultuju povećanim brojem pregleda oglasa/klikova i stoga povećanim prihodima za one koji stoje iza ove kampanje” objasnio je Martin. “To je jedna vrlo velika i stalna kampanja organizovane prevare prihoda od oglašavanja.”
Ne zna se tačno kako su WordPress stranice uopšte zaražene. Ali kada je web stranica hakovana, haker ubrizgava backdoor PHP kod koji omogućava daljinski pristup, kao i preusmjeravanje posjetitelja stranice.
“Pošto je dodatna injekcija malicioznog softvera smještena u datoteku wp-blog-header.php, ona će se izvršiti svaki put kada se web stranica učita i ponovo zaraziti web stranicu” rekao je Martin. “Ovo osigurava da okruženje ostane zaraženo sve dok se ne riješe svi tragovi malicioznog softvera.”
Izvor: The Hacker News
