Gli specialisti di Sucuri hanno scoperto che più di 70 domini falsi vengono usati per abbreviare le URL, che hanno portato all’infezione di oltre 10.800 siti WordPress con adware.

Novembre 2022 ha visto la prima apparizione di particolari sulla pericolosa campagna, come rilevato da un team di ricercatori di Sucuri. Essi hanno riscontrato che 15.000 siti WordPress sono stati compromessi. Link al blog di Sucuri.

Si è poi sentito che gli hacker miravano a migliorare la visibilità dei loro siti nei motori di ricerca, attuando la SEO black hat.

In altre parole, gli hacker hanno spinto in modo attivo i loro siti di domande e risposte di bassa qualità, che sono stati costruiti con le stesse modalità e ben evidentemente creati da una stessa squadra, attingendo a risorse compromesse.

Si è notato che in media gli aggressori hanno modificato oltre 100 file da ciascuna risorsa interessata, il che era inatteso. Di conseguenza, tra le pagine più colpite da infezioni, gli analisti hanno elencato wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php e wp-blog-header.php.

L’amplia compromissione ha dato agli attaccanti la possibilità di reindirizzare molti visitatori a risorse danneggiate su qualsiasi sito a loro scelta. Di fatto, lo scopo finale di questa iniziativa era aumentare il traffico verso le risorse controllate dagli hacker e migliorare la posizione nei motori di ricerca creando clic falsi.

Gli hacker hanno introdotto una backdoor che ha simulato i clic, conducendo le vittime verso un’immagine PNG ospitata nel dominio ois[.]is. Invece di effettivamente caricare l’immagine, i visitatori sono stati rimandati a un URL dei risultati di ricerca di Google che porta a uno dei finti siti di domande e risposte.

Gli esperti hanno affermato che gli aggressori stanno cercando di far credere a Google che i risultati delle ricerche sono stati cliccati da persone reali con vari indirizzi IP e browser. Tale metodo invierebbe un segnale artificiale a Google che le pagine hanno una buona performance nella ricerca.

Gli studiosi hanno riscontrato che questa campagna è ancora in corso e sta ampliandosi. Dai dati del 2023, più di 2600 siti web sono stati scoperti essere vulnerabili.

Gli operatori di malware hanno iniziato a utilizzare i risultati del motore di ricerca Bing (oltre che di Google) e i servizi di accorciamento dei link di Twitter (t[.]co) nelle loro attività.

Inoltre, gli hacker ricorrono a domini con accorciatori di URL falsi che simulano strumenti di accorciamento di URL popolari e reali (Bitly, Cuttly o ShortURL). In realtà, tali domini reindirizzano i visitatori a piattaforme di domande e risposte in cui è probabile che siano discusse blockchain e criptovalute.

Gli esperti spiegano che se si inserisce uno di questi nomi di dominio in un browser, verranno reindirizzati ai veri servizi degli URL: Bitly, Cuttly o ShortUrl.at, che fanno sembrare che siano solo domini alternativi per servizi conosciuti. Tuttavia, non è così: ognuno di questi domini ha solo pochi URL attivi che rimandano i visitatori a siti di spam di domande e risposte che generano entrate con AdSense.

I ricercatori hanno riferito che fino a questo momento non hanno rilevato alcuna forma di danno associata a tali pagine di destinazione. Tuttavia, hanno ammonito che i gestori di tali siti possono attivare il malware in qualsiasi momento o spostare il traffico su altri siti.

Il principale intento della campagna attualmente è creare un afflusso di visitatori verso pagine con annunci di Google AdSense.

Secondo il rapporto dell’azienda, le tecniche di offuscamento Base64 vengono impiegate dal malware per occultare la sua presenza ai gestori dei siti colpiti. Per esempio, se un utente si connette come amministratore o se un amministratore ha visitato un sito infetto entro le ultime due-sei ore, le redirezioni cesseranno di funzionare.

Tuttavia, Sucuri ha ammesso che non sono ancora riusciti a stabilire come i siti coinvolti in questa campagna siano stati hackerati, dal momento che non ci sono stati bug ovvi riscontrati nei plugin.

È possibile eliminare il plagio alterando la struttura di un testo senza intaccarne il significato di fondo. Ciò si può ottenere cambiando le parole e le frasi utilizzate, pur continuando a trasmettere la stessa idea. Anche la formattazione deve essere mantenuta intatta.