Piratas informáticos están llevando a cabo una campaña masiva de optimización de motores de búsqueda (SEO) de sombrero negro, comprometiendo casi a 15.000 sitios web para redirigir a los visitantes a foros de discusión de preguntas y respuestas falsos.
Los ataques fueron detectados por primera vez por Sucuri, quien dice que cada sitio comprometido contiene aproximadamente 20.000 archivos utilizados como parte de la campaña de spam del motor de búsqueda y la mayoría de los sitios son WordPress.
Los investigadores creen que el objetivo de los actores de amenazas es generar suficientes páginas indexadas para aumentar la autoridad de los sitios de preguntas y respuestas falsos y por lo tanto, clasificarse mejor en los motores de búsqueda.
Es probable que la campaña prepare estos sitios para su uso futuro como lanzadores de malware o sitios de phishing, ya que logrando un sitio de la primera página de la Búsqueda de Google se podría llegar a lograr muchas infecciones.
Los piratas informáticos están modificando los archivos PHP de WordPress, como ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’ y ‘wp-blog -header.php’, para inyectar los redireccionamientos a los foros de discusión de preguntas y respuestas falsos.
En algunos casos, los atacantes colocan sus propios archivos PHP en el sitio objetivo, usando nombres de archivo aleatorios o pseudo-legítimos como ‘wp-logln.php’.
Los archivos infectados o inyectados contienen un código malicioso que verifica si los visitantes del sitio web están conectados a WordPress y si no lo están, los redirige a la URL https://ois.is/images/logo-6.png.
Sin embargo, a los navegadores no se les enviará una imagen desde esta URL, sino que tendrán JavaScript cargado que redirigirá a los usuarios a una URL de clic de búsqueda de Google que redirigirá a los usuarios al sitio de preguntas y respuestas promocionado.
Es probable que el uso de una URL de clic de búsqueda de Google aumente las métricas de rendimiento de las URL en el Índice de Google para que parezca que los sitios son populares, con la esperanza de aumentar su clasificación en los resultados de búsqueda.
Además, la redirección a través de las URL de clic de búsqueda de Google hace que el tráfico parezca más legítimo, posiblemente pasando por alto algún software de seguridad.
La exclusión de los usuarios registrados, así como los que se encuentran en ‘wp-login.php’ tiene como objetivo evitar la redirección a un administrador del sitio, lo que generara sospechas y la limpieza del sitio comprometido.
El archivo de imagen PNG utiliza la función ‘window.location.href’ para generar el resultado de redirección de la Búsqueda de Google a uno de los siguientes dominios de destino:
- es.w4ksa[.]com
- paz.yomeat[.]com
- qa.bb7r[.]com
- en.ajeel[.]tienda
- qa.istisharaat[.]com
- es.photolovegirl[.]com
- es.poxnel[.]com
- qa.tadalafilhot[.]com
- preguntas.rawafedpor[.]com
- qa.elbwaba[.]com
- preguntas.primerobjetivo[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
Los actores de amenazas usan varios subdominios de las URL anteriores, por lo que la lista completa de los dominios de destino es demasiado larga para incluirla aquí (1137 entradas). Los interesados, pueden revisar la lista completa aquí.
La mayoría de estos sitios web ocultan sus servidores detrás de Cloudflare, por lo que los analistas de Sucuri no pudieron obtener más información sobre los operadores de la campaña.
Como todos los sitios usan plantillas de creación de sitios web similares y todos parecen haber sido generados por herramientas automatizadas, es probable que todos pertenezcan a los mismos piratas informáticos.
Sucuri no pudo identificar cómo los actores de amenazas violaron los sitios web utilizados para las redirecciones. Sin embargo, es probable que suceda al explotar un complemento vulnerable o forzar la contraseña de administrador de WordPress.
Por lo tanto, la recomendación es actualizar todos los complementos de WordPress y el CMS del sitio web a la última versión y activar la autenticación de dos factores (2FA) en las cuentas de administrador.
