15000 сайтов WordPress перенаправляют на мошеннический форум

Согласно новому отчету ИБ-компании Sucuri, хакеры проводят масштабную кампанию по отравлению SEO, скомпрометировав почти 15 000 веб-сайтов, чтобы перенаправить посетителей на поддельные форумы.

По словам экспертов, каждый взломанный сайт содержит около 20 000 файлов, используемых как часть спам-кампании поисковой системы, причем большинство сайтов основаны на WordPress.

Исследователи считают, что целью злоумышленников является создание большого количества проиндексированных страниц, чтобы повысить авторитет поддельных сайтов и повысить их рейтинг в поисковых системах.

Поддельный сайт вопросов и ответов

Киберпреступники, вероятно, подготовят эти сайты к дальнейшему использованию в качестве фишинговых сайтов или источника заражения вредоносным ПО. А наличие файла «ads.txt» на целевых сайтах означает, что злоумышленники хотят привлечь больше трафика для мошенничества с рекламой.

По данным Sucuri, хакеры модифицируют PHP-файлы WordPress, чтобы внедрить перенаправления на поддельные форумы. В некоторых случаях злоумышленники размещают свои собственные PHP-файлы на целевом сайте, используя случайные имена или имена, которые имитируют настоящие, такие как «wp-logln.php».

Вредоносный код перенаправляет пользователя на URL-адрес « https://ois.is/images/logo-6.png» . Затем загружается JavaScript -код, который перенаправляет пользователя на URL-адрес поиска Google, где пользователь попадает на вредоносный форум. PNG-файл использует функцию «window.location.href» для создания результата перенаправления поиска Google на один из 1137 целевых доменов .

Использование URL-адреса кликов поиска Google, вероятно, повысит показатели эффективности URL-адресов в индексе Google, чтобы алгоритмы посчитали сайты популярными и повысили их рейтинг в результатах поиска. Кроме того, перенаправление через URL-адреса делает трафик более законным, возможно, для обхода систем безопасности.

Примечательно, что путем добавления исключений вошедшие в систему пользователи и администраторы сайта не перенаправляются на мошеннические сайты, чтобы они не заметили вредоносную кампанию.

Sucuri не удалось определить, как злоумышленники взламывали веб-сайты. Эксперты предполагают, что злоумышленники использовали уязвимые плагины или подобрали пароль администратора WordPress. Sucuri порекомендовал обновить все плагины WordPress и CMS веб-сайта до последней версии и активировать двухфакторную аутентификацию (2FA) для учетных записей администратора.