Una operación cibernética maliciosa generalizada ha secuestrado miles de sitios web dirigidos a audiencias de Asia oriental para redirigir a los visitantes a contenido para adultos desde principios de septiembre de 2022.
La campaña en curso implica inyectar código JavaScript malicioso en los sitios web pirateados, a menudo conectándose al servidor web de destino utilizando credenciales de FTP legítimas que el atacante obtuvo previamente a través de un método desconocido.
«En muchos casos, se trataba de credenciales FTP altamente seguras generadas automáticamente que el atacante de alguna manera pudo adquirir y aprovechar para secuestrar sitios web», Wiz dicho en un informe publicado este mes.
El hecho de que los sitios web violados, propiedad tanto de pequeñas empresas como de corporaciones multinacionales, utilicen diferentes pilas tecnológicas y proveedores de servicios de alojamiento ha dificultado el rastreo de un vector de ataque común, señaló la compañía de seguridad en la nube.
Dicho esto, uno de los denominadores comunes entre los sitios web es que la mayoría de ellos están alojados en China o en un país diferente, pero están preparados para usuarios chinos.
Además, las URL que alojan el código JavaScript no autorizado están geovalladas para limitar su ejecución en determinados países de Asia oriental.
También hay indicios de que la campaña también ha puesto su mirada en Android, con el script de redirección que lleva a los visitantes a sitios web de apuestas que los insta a instalar una aplicación (nombre del paquete APK «com.tyc9n1999co.coandroid«).
La identidad del autor de la amenaza aún se desconoce y, aunque aún no se han identificado sus motivos precisos, se sospecha que el objetivo es llevar a cabo fraudes publicitarios y manipulación de SEO o, alternativamente, dirigir tráfico inorgánico a estos sitios web.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Otro aspecto destacable de los ataques es la ausencia de phishing, web skimming o infección de malware.
«Seguimos sin estar seguros de cómo el actor de amenazas ha obtenido acceso inicial a tantos sitios web, y aún tenemos que identificar puntos en común significativos entre los servidores afectados además de su uso de FTP», dijeron los investigadores Amitai Cohen y Barak Sharoni.
«Aunque es poco probable que el actor de la amenaza esté utilizando una vulnerabilidad de día cero dada la aparentemente baja sofisticación del ataque, no podemos descartar esta opción».