En ny ondsindet kampagne mod WordPress-websteder er blevet opdaget.
Malware-kampagne mod WordPress-websteder: 15,000 Berørte websteder
Sikkerhedsforskere har opdaget "en stigning i WordPress-malware, der omdirigerer webstedsbesøgende til falske Q&Et websted." Kampagnen er et eksempel på blackhat SEO og ondsindede SEO-omdirigeringer sigter mod at øge autoriteten af hackers websteder til søgemaskiner. Opdaget af Sucuri-forskere, kampagnen har påvirket ca 15,000 hjemmesider, med ondsindede omdirigeringer registreret på mere end 2,500 websteder mellem september og oktober, 2022. Berørte websteder indeholder "en hel del inficerede filer – næsten 20,000 påvisninger i alt,” ifølge Sucuris egne fund.
Forskerne bemærker, at kampagnen er ret usædvanlig, idet hackerne promoverer et lille antal falske Q-kvaliteter af lav kvalitet.&A websteder. En anden mærkelig kendsgerning ved kampagnen er det store antal inficerede filer, der er opdaget på webstederne. Normalt, deres antal er ret lille for at reducere detektionshastigheden. WordPress kernefiler er for det meste berørt, samt .php-filer oprettet af andre ikke-relaterede malware-kampagner.
Toppen 10 mest almindeligt inficerede filer inkluderer følgende:
./wp-signup.php
./wp-cron.php
./wp-links-opml.php
./wp-indstillinger.php
./wp-kommentarer-post.php
./wp-mail.php
./xmlrpc.php
./wp-activate.php
./wp-trackback.php
./wp-blog-header.php
Det er også bemærkelsesværdigt, fordi malwaren manipulerer med kerne WordPress-operationer, de omdirigeringer, det udløser, kan udføres "i browserne på den, der besøger webstedet." For at undgå at blive bemærket, omdirigeringer vil ikke forekomme, hvis wordpress_logged_in cookie er til stede, eller hvis den aktuelle side er wp-login.php.
Hvad er formålet med denne ondsindede BlackHat SEO-kampagne?
Da dette er et eksempel på blackhat SEO, angribernes eneste formål er at øge trafikken til ovennævnte, lav kvalitet Q&A websteder og øge disse websteders autoritet for Google. Dette opnås ved at starte en omdirigering til et PNG-billede, der er hostet på OIS[.]er domæne. I stedet for at indlæse et billede, det fører den besøgende på webstedet til et Google-søgeresultat af et ondsindet spørgsmål&Et domæne.
Det er endnu ikke lettet, hvordan den første infektion af WordPress-websteder sker. Hidtil, forskerne har ikke bemærket, at WordPress-plugin-sårbarheder bliver udnyttet i kampagnen. Angriberne bruger muligvis brute force-angreb mod WordPress-administratorkonti. For at undgå at disse sker, det er rådgivende at aktivere to-faktor-godkendelse og sørge for, at din software er opdateret.
At udføre en kernefilintegritetskontrol er et andet trin, som forskerne anbefaler. “Hvis du kan identificere filer med denne malware, skal du sørge for at forespørge dit filsystem for andre filer, der indeholder den samme injektion; der kommer næsten helt sikkert til at være en del andre,” sagde Sucuri.
Tidligere i år, forskere afslørede en anden ondsindet kampagne, der brugt SEO-forgiftning at narre potentielle ofre til at downloade BATLOADER malware. Angriberne brugte ondsindede websteder spækket med nøgleord fra populære softwareprodukter, og brugte søgemaskineoptimeringsforgiftning for at få dem til at dukke op højere i søgeresultaterne. Mandante forskere observerede også en smart unddragelsesteknik, som var afhængig af mshta.exe, et Windows-native-værktøj designet til at udføre Microsoft HTML-applikationsfiler (MTV).
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: