Eine neue bösartige Kampagne gegen WordPress-Websites wurde entdeckt.
Malware-Kampagne gegen WordPress-Sites: 15,000 Betroffene Websites
Sicherheitsforscher haben „eine Welle von WordPress-Malware entdeckt, die Website-Besucher auf gefälschte Q umleitet&A-Websites.“ Die Kampagne ist ein Beispiel für Blackhat-SEO und böswillige SEO-Weiterleitungen mit dem Ziel, die Autorität von Hackerseiten für Suchmaschinen zu erhöhen. Von Sucuri-Forschern entdeckt, die Kampagne hat sich ungefähr ausgewirkt 15,000 Webseiten, mit böswilligen Weiterleitungen auf mehr als erkannt 2,500 Websites zwischen September und Oktober, 2022. Betroffene Seiten enthalten „sehr viele infizierte Dateien – fast 20,000 Erfassungen insgesamt,“, so Sucuris eigene Erkenntnisse.
Die Forscher stellen fest, dass die Kampagne insofern ziemlich ungewöhnlich ist, als die Hacker eine kleine Anzahl von gefälschten Q&A-Websites. Eine weitere merkwürdige Tatsache der Kampagne ist die große Anzahl infizierter Dateien, die auf den Websites entdeckt wurden. In der Regel, ihre Anzahl ist eher klein, um die Erkennungsrate zu verringern. WordPress-Kerndateien sind hauptsächlich betroffen, sowie .php-Dateien, die von anderen unabhängigen Malware-Kampagnen erstellt wurden.
Die Spitze 10 Zu den am häufigsten infizierten Dateien gehören die folgenden:
./wp-signup.php
./wp-cron.php
./wp-links-opml.php
./wp-settings.php
./wp-comments-post.php
./wp-mail.php
./xmlrpc.php
./wp-activate.php
./wp-trackback.php
./wp-blog-header.php
Das ist auch bemerkenswert, weil die Malware grundlegende WordPress-Operationen manipuliert, Die von ihm ausgelösten Weiterleitungen können „in den Browsern aller Besucher der Website“ ausgeführt werden. Um nicht aufzufallen, Weiterleitungen treten nicht auf, wenn das wordpress_logged_in-Cookie vorhanden ist, oder wenn die aktuelle Seite wp-login.php ist.
Was ist der Zweck dieser bösartigen BlackHat-SEO-Kampagne??
Da dies ein Beispiel für Blackhat-SEO ist, Der einzige Zweck der Angreifer besteht darin, den Datenverkehr zu den oben genannten zu erhöhen, minderwertiges Q&A-Sites und Erhöhung der Autorität dieser Sites für Google. Dies wird erreicht, indem eine Umleitung zu einem PNG-Bild initiiert wird, das auf dem ois gehostet wird[.]ist Domäne. Anstatt ein Bild zu laden, es führt den Website-Besucher zu einem Google-Suchergebnis eines bösartigen Q&Eine Domain.
Wie es zur Erstinfektion von WordPress-Seiten kommt, muss noch geklärt werden. Bisher, Die Forscher haben nicht bemerkt, dass WordPress-Plugin-Schwachstellen in der Kampagne ausgenutzt wurden. Die Angreifer könnten Brute-Force-Angriffe gegen WordPress-Administratorkonten verwenden. Um diese zu vermeiden, Es wird empfohlen, die Zwei-Faktor-Authentifizierung zu aktivieren und sicherzustellen, dass Ihre Software aktualisiert wird.
Die Durchführung einer Kerndatei-Integritätsprüfung ist ein weiterer Schritt, den die Forscher empfehlen. “Wenn Sie Dateien mit dieser Malware identifizieren können, fragen Sie Ihr Dateisystem nach anderen Dateien ab, die dieselbe Injektion enthalten; es werden mit ziemlicher Sicherheit noch einige andere folgen,” sagte Sucuri.
Früher in diesem Jahr, Forscher entdeckten eine weitere bösartige Kampagne, die verwendete SEO-Vergiftung um potenzielle Opfer zum Herunterladen der BATLOADER-Malware zu verleiten. Die Angreifer verwendeten schädliche Websites, die mit Schlüsselwörtern beliebter Softwareprodukte gefüllt waren, und benutzte eine Suchmaschinenoptimierungsvergiftung, um sie in den Suchergebnissen höher erscheinen zu lassen. Mandiant-Forscher beobachteten auch eine clevere Umgehungstechnik, die sich auf mshta.exe stützte, ein Windows-natives Dienstprogramm zum Ausführen von Microsoft HTML-Anwendungsdateien (HTA).