أدت حملة ضارة جديدة إلى اختراق أكثر من 15000 موقع ويب WordPress في محاولة لإعادة توجيه الزوار إلى بوابات أسئلة وأجوبة مزيفة.
قال الباحث في شركة سوكوري ، بن مارتن ، في تقرير نُشر الأسبوع الماضي ، "يبدو أن عمليات إعادة التوجيه الخبيثة هذه مصممة لزيادة سلطة مواقع المهاجم على محركات البحث" ، ووصفها بأنها "خدعة ذكية لتحسين محركات البحث للقبعة السوداء".
تم تصميم تقنية التسمم بمحركات البحث للترويج لـ "عدد قليل من مواقع الأسئلة والأجوبة المزيفة منخفضة الجودة" التي تشترك في نماذج إنشاء مواقع ويب مماثلة ويتم تشغيلها بواسطة نفس ممثل التهديد.
يتمثل أحد الجوانب البارزة للحملة في قدرة المتسللين على تعديل أكثر من 100 ملف في المتوسط لكل موقع ويب ، وهو نهج يتناقض بشكل كبير مع الهجمات الأخرى من هذا النوع حيث يتم العبث فقط بعدد محدود من الملفات لتقليل البصمة والهروب من الاكتشاف.
تتكون بعض الصفحات المصابة الأكثر شيوعًا من wp-signup.php و wp-cron.php و wp-links-opml.php و wp-settings.php و wp-comments-post.php و wp-mail.php و xmlrpc .php و wp-active.php و wp-trackback.php و wp-blog-header.php.
يسمح هذا الاختراق الشامل للبرامج الضارة بتنفيذ عمليات إعادة التوجيه إلى مواقع الويب التي يختارها المهاجم. تجدر الإشارة إلى أن عمليات إعادة التوجيه لا تحدث في حالة وجود ملف تعريف الارتباط wordpress_logged_in أو إذا كانت الصفحة الحالية هي wp-login.php (أي صفحة تسجيل الدخول) وذلك لتجنب إثارة الشكوك.
الهدف النهائي للحملة هو "جذب المزيد من الزيارات إلى مواقعهم المزيفة" و "تعزيز سلطة المواقع باستخدام نقرات نتائج البحث الوهمية لجعل Google ترتبهم بشكل أفضل حتى يحصلوا على حركة بحث عضوية حقيقية أكثر."
تحقق الشفرة التي تم إدخالها ذلك عن طريق بدء إعادة توجيه إلى صورة PNG مستضافة على مجال يسمى " ois [.] " ، بدلاً من تحميل صورة ، يأخذ زائر موقع الويب إلى عنوان URL لنتيجة بحث Google لنطاق لأسئلة وأجوبة غير مرغوب فيها.
لم يتضح على الفور كيف تم اختراق مواقع WordPress ، وقالت Sucuri إنها لم تلاحظ أي عيوب واضحة في المكونات الإضافية يتم استغلالها لتنفيذ الحملة.
ومع ذلك ، يُشتبه في أنها حالة من الإجبار الغاشم على حسابات مسؤول WordPress ، مما يجعل من الضروري أن يقوم المستخدمون بتمكين المصادقة الثنائية والتأكد من تحديث جميع البرامج.
0 تعليقات