Atacantes comprometen casi 15,000 sitios web en una campaña masiva de Black Hat SEO :: Bitdefender blog

Atacantes comprometen casi 15,000 sitios web en una campaña masiva de Black Hat SEO

Noticia de Ciberseguridad - Nov 10, 2022


Casi 15,000 sitios web se vieron comprometidos en una campaña reciente de optimización de motores de búsqueda (SEO) de black hat. Los perpetradores alteraron el contenido de miles de sitios web para redirigir a los visitantes a foros de discusión de preguntas y respuestas falsos.

 

La campaña maliciosa fue descubierta por la empresa de seguridad web Sucuri, que cree que los atacantes tenían como objetivo aumentar la autoridad de sus sitios web falsos. La compañía dijo que los sitios web más afectados usaban WordPress, y cada uno alojaba aproximadamente 20,000 archivos que alimentaban la campaña de SEO de sombrero negro.

 

Aunque aparentemente son inofensivos, los sitios web falsos de preguntas y respuestas podrían armarse más tarde y usarse para colocar malware o convertirse en sitios web de phishing. Los atacantes también podrían explotar la clasificación inflada artificialmente de los sitios web para lanzar un devastador ataque de lanzamiento de malware.

 

Por otro lado, los expertos localizaron un archivo "ads.txt" en algunos de los dominios no autorizados, lo que los llevó a creer que los atacantes podrían querer acumular más tráfico para realizar fraudes publicitarios. Hace unas semanas, una campaña maliciosa de anuncios de Google GIMP infectó a víctimas desprevenidas con malware para robar información a través de una réplica del sitio web.

 

Como muestra el informe de Sucuri, los perpetradores inyectaron redireccionamientos en los archivos principales de WordPress, pero también "infectaron archivos .php maliciosos creados por otras campañas de malware no relacionadas". La compañía publicó una lista de los 10 archivos más comúnmente infectados:

 

./wp-signup.php
./wp-cron.php
./wp-links-opml.php
./wp-settings.php
./wp-comments-post.php
./wp-mail.php
./xmlrpc.php
./wp-activate.php
./wp-trackback.php
./wp-blog-header.php

 

Un análisis posterior reveló que los atacantes también infectaron "nombres de archivo aleatorios o pseudolegítimos", que incluyen:

 

RVbCGlEjx6H.php
lfojmd.php
wp-newslet.php
wp-ver.php
wp-logln.php

 

Los archivos comprometidos albergan un código malicioso que redirige a los visitantes a una URL de imagen si no han iniciado sesión en WordPress. Sin embargo, en lugar de mostrar una imagen, la URL usa JavaScript para redirigir a los visitantes a una URL de clic de búsqueda de Google, lo que lleva a los usuarios al sitio web falso de preguntas y respuestas.

 

Los perpetradores probablemente excluyeron a los usuarios que iniciaron sesión en sus cuentas de WordPress para evitar redirigir a un administrador del sitio web y levantar sospechas.

 

Aunque el análisis de Sucuri no encontró una vulnerabilidad de complemento obvia de inmediato, no descartó que los atacantes usen kits de explotación para "buscar cualquier componente de software vulnerable común".

 

La empresa incluyó una serie de consejos de mitigación contra la nueva campaña maliciosa, entre ellos:

 

- Actualice el software de su sitio web a la última versión y aplique los últimos parches

- Habilite la autenticación de dos factores (2FA) para las cuentas de administrador

- Cambie todas las contraseñas de administrador y punto de acceso (cPanel, FTP, alojamiento)

- Use un firewall para proteger tu sitio web