خبرکاو:

این کمپین از سپتامبر 2022 فعال بوده است و افزایش اخیر آلودگی وب سایت ها در ژانویه 2023 مشاهده شد.

محققان Sucuri یک درب پشتی را گزارش کرده اند که در ماه های اخیر حدود 11000 وب سایت را با موفقیت آلوده کرده است. در اینجا جزئیاتی است که Sucuri در گزارش فنی خود به اشتراک گذاشته است.

این یک واقعیت است که اخیراً چندین محصول Google برای انتشار بدافزار و سایر مؤلفه‌های مخرب مورد سوء استفاده قرار گرفته است، از جمله Google Ads ، Google Home و Google Drive .

در واقع، یک مطالعه نشان داد که Google Drive 50٪ از دانلودهای مخرب اسناد آفیس را در سال 2022 به خود اختصاص داده است.

درب پشتی هدایت بازدیدکنندگان به سایت های هک شده

طبق تحقیقات Sucuri، درپشتی کاربران را به سایت‌هایی هدایت می‌کند که نماهای کلاهبرداری از تبلیغات Google AdSense را نشان می‌دهند. اسکنر از راه دور SiteCheck این شرکت بیش از 10890 سایت آلوده را شناسایی کرده است. این فعالیت اخیراً تشدید شده است، به طوری که 70 دامنه جدید مخرب در سال 2023 به عنوان قانونی پنهان شدند و 2600 سایت آلوده در وب کشف شدند.

تمام وب سایت های آلوده شناسایی شده توسط Sucuri از WordPress CMS استفاده می کردند. اینها یک اسکریپت PHP مبهم داشتند که به فایل های قانونی موجود در وب سایت ها، مانند index.php، wp-activate.php، wp-signup.php، و wp-cron.php و غیره تزریق می شد.

حمله چگونه کار می کند؟

در دو ماه گذشته، محققان Sucuri بیش از 75 دامنه URL شبه کوتاه مرتبط با ترافیک هدایت‌شده را شناسایی کرده‌اند. لازم به ذکر است که تقریباً همه URL های مخرب به نظر می رسد متعلق به یک سرویس کوتاه کننده URL هستند. برخی حتی نام سرویس های کوتاه کننده محبوب مانند Bitly را تقلید می کنند.

بازدیدکنندگان به مجموعه‌ای از وب‌سایت‌های با کیفیت پایین هدایت می‌شوند که در Question2Answer CMS توسعه یافته‌اند و موضوعات بحث بیشتر به ارزهای دیجیتال یا بلاک چین مربوط می‌شود.

محققان بر این باورند که تبلیغ ارزهای دیجیتال جدید در یک کلاهبرداری ICO می‌تواند عمدی باشد. با این حال، محققان مطمئن هستند که هدف اصلی این کلاهبرداری تبلیغاتی افزایش غیر ارگانیک ترافیک به سایت‌هایی است که دارای شناسه AdSense هستند تا تبلیغات Google برای درآمدزایی نمایش داده شود.

چگونه از تشخیص فرار می کند؟

برخی از این سایت های مخرب همچنین کد مبهم را به "wp-blog-header.php" تزریق می کنند. این کد به عنوان یک درب پشتی کار می کند تا اطمینان حاصل شود که بدافزار از تلاش های ضدعفونی فرار می کند. این کار را با بارگیری خود در فایل هایی انجام می دهد که به محض راه اندازی مجدد سرور مورد نظر اجرا می شوند.

«از آنجایی که تزریق بدافزار اضافی در فایل wp-blog-header.php ثبت می‌شود، هر زمان که وب‌سایت بارگیری شود اجرا می‌شود و وب‌سایت را دوباره آلوده می‌کند. این تضمین می‌کند که تا زمانی که تمام آثار بدافزار برطرف نشود، محیط آلوده باقی می‌ماند.»

این بدافزار حضور خود را با تعلیق تغییر مسیرها هنگامی که بازدیدکننده به عنوان مدیر وارد می شود یا از یک سایت آلوده در عرض 2 تا 6 ساعت بازدید می کند، پنهان می کند. کد مخرب با استفاده از رمزگذاری Base64 پنهان می شود.

چگونه از کوتاه‌کننده‌های URL در حمله سوء استفاده می‌شود؟

هنگامی که کاربر هر نام دامنه ای را در مرورگر خود وارد می کند، به یک سرویس کوتاه کننده URL واقعی هدایت می شود، به عنوان مثال، Cuttly یا Bitly، اما اینها کوتاه کننده های URL عمومی واقعی نیستند. هر دامنه دارای چند URL فعال است که بازدیدکنندگان را به سایت‌های پرسش و پاسخ هرزنامه که دارای درآمد AdSense هستند هدایت می‌کنند.

در یک پست وبلاگی ، بن مارتین، محقق Sucuri اظهار داشت که «درهای پشتی پوسته های اضافی و یک اسکریپت نامه نویسی Leaf PHP را از یک filestacklive دامنه راه دور دانلود می کنند و آنها را در فایل هایی با نام های تصادفی در فهرست های wp-includes، wp-admin و wp-content قرار می دهند. "

این کمپین از سپتامبر 2022 فعال بوده است و افزایش اخیر آلودگی وب سایت ها در ژانویه 2023 مشاهده شد.

«در این مرحله، ما رفتار مخربی را در این صفحات فرود مشاهده نکرده‌ایم. با این حال، در هر زمان، اپراتورهای سایت ممکن است خودسرانه بدافزار اضافه کنند یا شروع به هدایت ترافیک به سایر وب سایت های شخص ثالث کنند.

اخبار مرتبط

Google Docs برای گسترش پیوندهای فیشینگ سوء استفاده می کند

گوگل، مایکروسافت و اوراکل بیشترین نقص ها را ایجاد کردند

مود بسته‌های Minecraft آلوده به بدافزار به فروشگاه Play وارد شدند

پسوند Ad-blocker تبلیغات را در جستجوهای Google تزریق می کند

سایت مرورگر Brave جعلی بدافزار را از Google Ads حذف می کند

خبرکاو