عوامل تهدید در پشت کمپین بدافزار تغییر مسیر کلاه سیاه کمپین خود را افزایش داده اند تا از بیش از 70 دامنه جعلی تقلید کننده کوتاه کننده URL استفاده کنند و بیش از 10800 وب سایت را آلوده کرده اند.
بن مارتین، محقق Sucuri، در گزارشی که هفته گذشته منتشر شد، گفت: "هدف اصلی همچنان تقلب در تبلیغات با افزایش مصنوعی ترافیک به صفحاتی است که حاوی شناسه AdSense هستند که حاوی تبلیغات گوگل برای درآمدزایی هستند."
جزئیات فعالیت مخرب اولین بار توسط شرکت متعلق به GoDaddy در نوامبر 2022 افشا شد.
این کمپین که گفته میشود از سپتامبر سال گذشته فعال بوده است، برای هدایت بازدیدکنندگان به سایتهای وردپرس در معرض خطر به پورتالهای جعلی پرسش و پاسخ تنظیم شده است. به نظر می رسد هدف افزایش اعتبار سایت های اسپم در نتایج موتورهای جستجو است.
Sucuri در آن زمان بيان کرد : ممکن است این بازیگران بد به سادگی سعی کنند گوگل را متقاعد کنند که افراد واقعی از IP های مختلف با استفاده از مرورگرهای مختلف روی نتایج جستجوی آنها کلیک می کنند. "این تکنیک به طور مصنوعی سیگنال هایی را به گوگل ارسال می کند که آن صفحات در جستجو عملکرد خوبی دارند."
چیزی که آخرین کمپین را قابل توجه می کند، استفاده از پیوندهای نتایج جستجوی Bing و سرویس کوتاه کننده پیوند توییتر (t[.]co) به همراه Google در تغییر مسیرهای آنها است که نشان دهنده گسترش ردپای عامل تهدید است.
همچنین از دامنههای URL شبه کوتاه استفاده میشود که به عنوان ابزارهای محبوب کوتاهکننده URL مانند Bitly، Cuttly، یا ShortURL ظاهر میشوند، اما در واقع بازدیدکنندگان را به سایتهای پرسش و پاسخ کلی هدایت میکنند.
Sucuri بيان کرد که تغییر مسیرها در سایتهای پرسش و پاسخی که در مورد بلاک چین و ارزهای دیجیتال بحث میکنند، با دامنههای URL در DDoS-Guard، یک ارائهدهنده زیرساخت اینترنتی روسی که تحت اسکنر ارائه خدمات میزبانی ضد گلوله قرار گرفته، میزبانی شده است.
مارتین توضیح داد: «تغییر مسیرهای ناخواسته از طریق URL کوتاه جعلی به سایتهای پرسش و پاسخ جعلی منجر به بازدید/کلیکهای تبلیغاتی و در نتیجه افزایش درآمد برای هر کسی که پشت این کمپین است، میشود. "این یک کمپین بسیار بزرگ و در حال انجام تقلب سازمان یافته درآمد تبلیغاتی است. "
دقیقاً مشخص نیست که چگونه سایت های وردپرس در وهله اول آلوده می شوند. اما هنگامی که وب سایت نقض می شود، عامل تهدید کد PHP در پشتی را تزریق می کند که امکان دسترسی دائمی از راه دور و همچنین هدایت بازدیدکنندگان سایت را فراهم می کند.
مارتین گفت: «از آنجایی که تزریق بدافزار اضافی در فایل wp-blog-header.php ثبت میشود، هر زمان که وبسایت بارگیری شود اجرا میشود و وبسایت را دوباره آلوده میکند». "این تضمین می کند که محیط آلوده باقی می ماند تا زمانی که با تمام آثار بدافزار مقابله شود."
ارسال نظر