Yeni bir kötü amaçlı kampanya tehlikeye girdi 15.000’den fazla WordPress web sitesi ziyaretçileri sahte Soru-Cevap portallarına yönlendirmek amacıyla.
Sucuri araştırmacısı Ben Martin, “Bu kötü niyetli yönlendirmeler, saldırganın sitelerinin arama motorları için yetkisini artırmak için tasarlanmış gibi görünüyor.” söz konusu geçen hafta yayınlanan bir raporda, buna “zeki bir siyah şapka SEO hilesi” adı verildi.
Arama motoru zehirleme tekniği, benzer web sitesi oluşturma şablonlarını paylaşan ve aynı tehdit aktörü tarafından işletilen “bir avuç sahte düşük kaliteli Soru-Cevap sitesi”ni tanıtmak için tasarlanmıştır.
Kampanyanın dikkate değer bir yönü, bilgisayar korsanlarının web sitesi başına ortalama 100’den fazla dosyayı değiştirme yeteneğidir; bu, ayak izini azaltmak ve tespitten kaçmak için yalnızca sınırlı sayıda dosyanın kurcalandığı bu tür diğer saldırılardan çarpıcı biçimde farklı olan bir yaklaşımdır.
En sık virüs bulaşan sayfalardan bazıları wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc’dir. .php, wp-activate.php, wp-trackback.php ve wp-blog-header.php.
Bu kapsamlı uzlaşma, kötü amaçlı yazılımın, saldırganın tercih ettiği web sitelerine yönlendirmeleri yürütmesine olanak tanır. Aşağıdaki durumlarda yönlendirmelerin gerçekleşmediğini belirtmekte fayda var. wordpress_logged_in çerezi şüphe uyandırmamak için mevcut sayfa wp-login.php (yani giriş sayfası) ise.
Kampanyanın nihai amacı, “sahte sitelerine daha fazla trafik çekmek” ve “sahte arama sonucu tıklamaları kullanarak sitelerin otoritesini artırmak ve Google’ın onları daha iyi sıralamalarını ve böylece daha gerçek organik arama trafiği elde etmelerini sağlamaktır.”
Enjekte edilen kod, “adlı bir etki alanında barındırılan bir PNG görüntüsüne bir yönlendirme başlatarak bunu başarır.ois[.]dır-dir” bu, bir resim yüklemek yerine web sitesi ziyaretçisini bir spam Soru-Cevap alanının Google arama sonucu URL’sine götürür.
WordPress sitelerinin nasıl ihlal edildiği hemen belli değil ve Sucuri, kampanyayı yürütmek için herhangi bir açık eklenti kusurunun kullanılmadığını fark etmediğini söyledi.
Bununla birlikte, kullanıcıların iki faktörlü kimlik doğrulamayı etkinleştirmesini ve tüm yazılımların güncel olmasını sağlamasını zorunlu kılan, WordPress yönetici hesaplarını kaba zorlama vakası olduğundan şüpheleniliyor.