Los actores de amenazas detrás de la campaña de malware de redirección de sombrero negro han ampliado su campaña para usar más de 70 dominios falsos que imitan acortadores de URL e infectaron más de 10,800 sitios web.
“El objetivo principal sigue siendo el fraude publicitario al aumentar artificialmente el tráfico a las páginas que contienen la ID de AdSense que contienen anuncios de Google para generar ingresos”, dijo el investigador de Sucuri, Ben Martin. dicho en un informe publicado la semana pasada.
Los detalles de la actividad maliciosa fueron expuestos por primera vez por la empresa propiedad de GoDaddy en noviembre de 2022.
La campaña, que se dice que estuvo activa desde septiembre del año pasado, está orquestada para redirigir a los visitantes de sitios de WordPress comprometidos a portales de preguntas y respuestas falsos. El objetivo, al parecer, es aumentar la autoridad de los sitios de spam en los resultados de los motores de búsqueda.
“Es posible que estos malos actores simplemente estén tratando de convencer a Google de que personas reales de diferentes direcciones IP que usan diferentes navegadores están haciendo clic en sus resultados de búsqueda”, señaló Sucuri en ese momento. “Esta técnica envía artificialmente señales a Google de que esas páginas se están desempeñando bien en la búsqueda”.
Lo que hace que la última campaña sea significativa es el uso de enlaces de resultados de búsqueda de Bing y el acortador de enlaces de Twitter (t[.]co), junto con Google, en sus redireccionamientos, lo que indica una expansión de la huella del actor de amenazas.
También se utilizan dominios de URL pseudocortos que se hacen pasar por herramientas populares de acortamiento de URL como Bitly, Cuttly o ShortURL, pero que en realidad dirigen a los visitantes a sitios de preguntas y respuestas incompletos.
Sucuri dijo que los redireccionamientos aterrizaron en sitios de preguntas y respuestas que discutían blockchain y criptomonedas, con los dominios URL ahora alojados en DDoS-Guard, un proveedor de infraestructura de Internet ruso que ha sido analizado por proporcionar servicios de alojamiento a prueba de balas.
“Los redireccionamientos no deseados a través de URL cortas falsas a sitios de preguntas y respuestas falsos dan como resultado vistas/clics de anuncios inflados y, por lo tanto, ingresos inflados para quien esté detrás de esta campaña”, explicó Martin. “Es una campaña muy grande y continua de fraude organizado de ingresos por publicidad”.
No se sabe con precisión cómo se infectan los sitios de WordPress en primer lugar. Pero una vez que se viola el sitio web, el actor de amenazas inyecta un código PHP de puerta trasera que permite el acceso remoto persistente, así como redirigir a los visitantes del sitio.
“Dado que la inyección de malware adicional se aloja dentro del archivo wp-blog-header.php se ejecutará cada vez que se cargue el sitio web y lo reinfectará”, dijo Martin. “Esto garantiza que el entorno permanezca infectado hasta que se eliminen todos los rastros del malware”.