Xakep #305. Многошаговые SQL-инъекции
Эксперты компании Sucuri обнаружили, что злоумышленники используют более 70 фиктивных доменов, имитирующих сокращатели URL, и заразили более 10 800 сайтов под управлением WordPress рекламной малварью.
Первые детали об этой вредоносной кампании появились еще в ноябре 2022 года, когда все те же исследователи Sucuri заметили компрометацию 15 000 сайтов на базе WordPress. Тогда сообщалось, что хакеры нацелены на «повышения авторитета собственных сайтов» в поисковых системах, по сути, занимаясь черным SEO. То есть, с помощью взломанных ресурсов, хакеры активно продвигали собственные «низкокачественные Q&A-сайты», использующие одинаковые шаблоны и явно созданные одной и той же группой.
Отмечалось, что злоумышленники модифицируют в среднем более 100 файлов на каждом пострадавшем ресурсе, что выглядело достаточно необычно. Так, среди «наиболее заражаемых» страниц аналитики перечисляли wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php и wp-blog-header.php.
Столь обширная компрометация позволяла атакующим перенаправлять многочисленных посетителей взломанных ресурсов на любые сайты по своему выбору. Фактически, конечной целью этой кампании было привлечение больших объемов трафика на подконтрольные хакерам ресурсы и улучшение их позиций в поисковиках, благодаря поддельным кликам.
Внедренный хакерами бэкдор имитировал клики, инициируя перенаправление жертвы на изображение PNG, размещенное в домене ois[.]is. Дело в том, что вместо настоящей загрузки изображения посетителей перенаправляли на URL-адрес результатов поиска Google, ведущий на один из фейковых Q&A-сайтов.
«Похоже, злоумышленники просто пытаются убедить Google, что реальные люди с разных IP-адресов, использующие разные браузеры, нажимают на результаты в поиске. Этот метод искусственно посылает Google сигналы о том, что эти страницы якобы показывают хорошие результаты в поиске», — писали эксперты.
Как теперь сообщают исследователи, эта кампания по-прежнему активна и продолжает расширяться. Только в 2023 году было обнаружено более 2600 взломанных сайтов.
Теперь операторы малвари стали использовать еще и ссылки результатов поиска Bing (наряду с Google), а также службы для сокращения ссылок Twitter (t[.]co).
Помимо этого хакеры используют и домены с фальшивыми сокращателями URL-адресов, которые маскируются под популярные и реально существующие инструменты сокращения URL (Bitly, Cuttly или ShortURL). На деле же такие сайты направляют посетителей все на те же Q&A-ресурсы, где якобы обсуждают блокчейн и криптовалюты.
«Если вы введете любое из этих доменных имен в браузере, вы будете перенаправлены на настоящую службу для сокращения URL-адресов: Bitly, Cuttly или ShortUrl.at, что создает впечатление, будто это просто альтернативные домены для известных служб. Однако это не так — каждый из доменов имеет всего несколько рабочих URL, которые перенаправляют посетителей на спам-сайты вопросов и ответов с монетизацией AdSense», — объясняют эксперты.
Стоит сказать, что пока исследователи не выявили ничего вредоносного на этих целевых страницах. Но они предупреждают, что операторы этих сайтов могут в любой момент активировать какую-либо малварь или начнут перенаправлять трафик куда-то еще.
По сути, на данный момент вся цель кампании заключается в создании притока трафика на сайты, содержащие рекламу Google AdSense.
В отчете компании отмечается, что малварь обфусцирована с использованием Base64 и старается скрыть свое присутствие от администраторов зараженных сайтов. Так, если пользователь входит в систему как администратор, или администратор заходил на зараженный сайт в течение последних 2-6 часов, работа перенаправлений приостанавливается.
При этом в Sucuri признают, что им все еще не удалось понять, каким образом были взломаны пострадавшие от этой кампании сайты, так как каких-либо очевидных багов в плагинах обнаружено не было.