Uma nova campanha maliciosa comprometeu mais de 15.000 sites WordPress em uma tentativa de redirecionar os visitantes para portais falsos de perguntas e respostas.
“Esses redirecionamentos maliciosos parecem ser projetados para aumentar a autoridade dos sites do invasor para os mecanismos de busca”, disse o pesquisador da Sucuri, Ben Martin , em um relatório publicado na semana passada, chamando-o de “truque inteligente de SEO de chapéu preto”.
A técnica de envenenamento do mecanismo de pesquisa foi projetada para promover um “punhado de sites falsos de perguntas e respostas de baixa qualidade” que compartilham modelos de criação de sites semelhantes e são operados pelo mesmo agente de ameaças.
Um aspecto notável da campanha é a capacidade dos hackers de modificar mais de 100 arquivos em média por site, uma abordagem que contrasta drasticamente com outros ataques desse tipo, em que apenas um número limitado de arquivos é adulterado para reduzir a pegada e escapar da detecção.
Algumas das páginas mais comumente infectadas consistem em wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc .php, wp-activate.php, wp-trackback.php e wp-blog-header.php.
Esse comprometimento extenso permite que o malware execute os redirecionamentos para sites de escolha do invasor. Vale ressaltar que os redirecionamentos não ocorrem se o cookie wordpress_logged_in estiver presente ou se a página atual wp-login.php (ou seja, a página de login) para evitar levantar suspeitas.
O objetivo final da campanha é “dirigir mais tráfego para seus sites falsos” e “aumentar a autoridade dos sites usando cliques falsos em resultados de pesquisa para fazer com que o Google os classifique melhor para que eles obtenham mais tráfego de pesquisa orgânica real”.
O código injetado consegue isso iniciando um redirecionamento para uma imagem PNG hospedada em um domínio chamado ” ois[.]is ” que, em vez de carregar uma imagem, leva o visitante do site a um URL de resultado de pesquisa do Google de um domínio de perguntas e respostas de spam.
Não está imediatamente claro como os sites do WordPress são violados, e a Sucuri disse que não notou nenhuma falha óbvia do plugin sendo explorada para realizar a campanha.
Dito isso, suspeita-se que seja um caso de força bruta das contas de administrador do WordPress, tornando essencial que os usuários habilitem a autenticação de dois fatores e garanta que todo o software esteja atualizado.
Fonte: The Hacker News.