Mijëra uebsajte WordPress të infektuara ridrejtojnë tek një fushatë mashtrimi me Google AdSense

N. D. Send an email 10:49, 16-02-2023
0
Laptop, Wordpress, foto: Negative Space/Pexels

Vitin e kaluar u raportua një fushatë malueri që vinte në shënjestër mijëra uebsajte WordPress duke ridrejtuar përdoruesit në uebfaqe të dëmshme Q&A. Vetë uebsajtet kishin shumë pak informacion të dobishëm për një vizitor normal por më e rëndësishmja përmbanin reklama Google Adsense. Dukej një përpjekje për të fryrë artificialisht shikimet dhe gjeneruar të ardhura, shkruan PCWorld Albanian.

Që prej Shtatorit, SiteCheck i Sucuri ka identifikuar këtë fushatë e cila infektoi 10890 uebsajte. Së fundi aktiviteti është shtuar ku 70 domaine të reja uebsajtesh të dëmshme maskohen si shkurtues URL. Në këto momente që shkruajmë, mbi 2600+ sajte në 2023 janë identifikuar.

Në këtë artikull do të analizojmë shtrirjen e këtij malueri si funksionon dhe çfarë duhet të bëni nëse uebsajti juaj është prekur nga ky infektim.

Variacione në tematika

Siç kemi parë në valën e fundit, trafiku i një uebsajti të hakuar ridrejtohet tek uebsajte me cilësi të ulët ndërtuar me CMS-në Question2Answer. Temat e diskutimeve kanë të bëjnë kryesisht për kriptomonedhat dhe blockchain.

Në fillim duke sikur janë ndërtuar me qëllim për të reklamuar kriptomonedhat përmes skemave ICO dhe mashtruar njerëzit, por më vonë kuptohet se objektivi kryesor është mashtrimi me reklamat Adsense duke fryrë trafikun artificialisht dhe gjeneruar të ardhura nga reklamat e Google.

Domaine uebsajtesh për shkurtim të URL

Përgjatë dy muajve të fundit janë identifikuar mbi 75 pseudo-domain për shkurtimin e url që ridrejtojnë në këto uebsajte:

  • 0-4[.]top/GQH0r3
  • 012[.]bond/lUg0r3
  • 5pm[.]am/BZl0r8
  • 77w[.]pw/ZTe0r7
  • 7la[.]la/ywI0r0
  • 99pw[.]pw/Epo0r2
  • 9ge[.]ge/bwN0c6
  • b-d[.]bond/wpZ0r1
  • b-i-t-l-y[.]co/bNA0r5
  • b-ly[.]link/pge0r3
  • b-y[.]by/prB0r7
  • bit-ly[.]is/UBz0r9
  • bit-ly[.]mobi/cMq0r0
  • bitly[.]best/oMR0r0
  • bitly[.]email/liy0r3
  • bitly[.]gold/hNL0r9
  • bitly[.]host/MOA0r3
  • bitly[.]network/VKu0r1
  • c-lick[.]click/Cau0r1
  • c-you[.]cyou/hIK0r7
  • cc-z[.]cz/jGA0r4
  • co-o[.]co/Fja0r8
  • cr-7[.]cc/rfl0r0
  • cutlinks[.]biz/Hwa0r9
  • cutlinks[.]ca/63H5U
  • cutlinks[.]mobi/sdr0r8
  • cutlinks[.]org/63H5U
  • cutlinks[.]pw/Gvt0r8
  • cuturls[.]net/zVU0r0
  • d-ev[.]dev/xgL0r1
  • fco[.]to/vUC0r7
  • fmo[.]fm/KFS0r2
  • g-l[.]gl/TlX0r9
  • g-y[.]gy/Pvd0r5
  • co[.]il/Vym0r1
  • gov-cn[.]cloud/YsL0r9
  • co[.]ve/WEQ0r1
  • h-air[.]hair/eWP0r1
  • i-cu[.]icu/Twa0r4
  • i-io[.]io/CgD0r2
  • i-n-fo[.]info/bPX0r6
  • i-s[.]is/ixF0r7
  • icx[.]cx/oaC0r7
  • ii-ii[.]ru/yjh0r6
  • ilc[.]lc/vQO0r3
  • isn[.]is/63H5U
  • isx[.]sx/mqJ0r3
  • j-e[.]je/DDn0c1
  • l-o[.]loan/AKI0r1
  • l-ol[.]lol/DiB0r3
  • lbz[.]bz/cro0r5
  • m-n[.]mn/DrG0r6
  • mvc[.]vc/nMo0r3
  • n-g[.]ng/Vwi0r2
  • n-z[.]nz/KoC0r8
  • obz[.]bz/HqD0r5
  • oo-o[.]co/Ocv0c1
  • oo[.]coffee/Dxw0r3
  • psu[.]su/sDy0r2
  • s-k[.]sk/pHH0r7
  • s-b[.]sb/QvS0r2
  • s-sh[.]sh/QAP0r9
  • sy-s[.]systems/hwE0r1
  • t-o[.]to/MMn0r9
  • tiny-url[.]mobi/ACE0r0
  • u-mu[.]mu/Dwk0r8
  • uxe[.]luxe/jfA0r6
  • vms[.]ms/dmc0r0
  • vv-vip[.]vip/GkE0r9
  • vvg[.]vg/yDY0r4
  • w-me[.]me/hRM0r9
  • w-tw[.]tw/Oki0r9
  • w-ws[.]ws/ONk0r3
  • wac[.]ac/wXB0r4
  • wci[.]ci/Zpm0r0
  • wco[.]pw/Eox0r5
  • wst[.]st/prQ0r9
  • xx-yz[.]xyz/YNB0r6

Të gjitha këto URL pretendojnë të duken sikur i përkasin një uebsajti për shkurtimin e URL-ve. Disa prej tyre imitojnë emra të njohur si bitly.best, b-i-t-l-y.co apo bit-ly.mobi.

Nëse hyni në një prej këtyre domaineve në shfletues, do të ridrejtoheni tek një shërbim për shkurtimin e URL-ve si Bitly, Cuttly dhe ShortUrl.at duke i bërë të duken si shërbime alternative nga platforma të njohura.

Por në të vërtetë nuk janë shkurtes URL por uebsajte spam që çojnë vizitorët tek sajte Q&A me reklama AdSense. Janë regjistruar të gjitha specifikisht për këtë fushatë. Për shembull një domain i ri c-lick.click është krijuar më 20 Janar 2023.

Migrimi nga Cloudflare në DDoS-Guard

Në fazat e para të fushatës, pseudo-domaine për shkurtimin e URL-ve kanë përdorur shërbimin e Cloudflare për të fshehur serverët e tyre realë. Por pas raportimit të Sucuri, Cloudflare i bllokoi duke shfaqur adresa reale IP të tyre përfshirë 172.96.189[.]69, 198.27.80[.]139, 142.11.214[.]173.

Së fundi aktorët e këqij zhvendosën të gjithë domainet e tyre drejt DDoS-Guard, një shërbim kontrovers Rus për mbrojtje DDoS që funksionon si një kompani në Belize. Të gjitha këto domaine mund të gjenden në IP 190.115.26.9.

Për më tepër, njëlloj si vala e mëhershme e maluerit, trafiku ridrejtohet përmes Google Search në përpjekje për ta bërë të duket sa më legjitim.

Ridrejtime në Bing dhe Twitter

Përveç Google, kjo fushatë përpiqet të ridrejtojë përdoruesit nëpër rezultatet e kërkimit të Bing dhe URL-ve të shkurtuara përmes Twitter si t[.]co/Xa4ZRqsp8C dhe t[.]co/KgdLpz31TG.

Çdo ridrejtim i testuar të çonte tek një prej sajteve Q&A ku diskutohej për kriptomonedhat, por ID Adsense ndryshonte mes sajteve të ndryshme. Kjo është një listë destinacionesh vëzhguar nga Sucuri:

  • hxxps://ask[.]elbwaba[.]com
  • hxxps://btc[.]yomeat[.]com
  • hxxps://eq[.]yomeat[.]com
  • hxxps://en[.]elbwaba[.]com
  • hxxps://en[.]firstgooal[.]com
  • hxxps://ust[.]aly2um[.]com
  • hxxps://plus[.]cr-halal[.]com
  • hxxps://en[.]rawafedpor[.]com
  • hxxps://btc[.]latest-articles[.]com
  • hxxps://news[.]istisharaat[.]com

AdSense ID

Sucuri ka identifikuar këto ID AdSense përdorur në uebsajtet e infektuara:

en[.]rawafedpor[.]com ca-pub-8594790428066018
plus[.]cr-halal[.]com ca-pub-3135644639015474
eq[.]yomeat[.]com ca-pub-4083281510971702
news[.]istisharaat[.]com ca-pub-6439952037681188
en[.]firstgooal[.]com ca-pub-5119020707824427
ust[.]aly2um[.]com ca-pub-8128055623790566
btc[.]latest-articles[.]com ca-pub-4205231472305856
ask[.]elbwaba[.]com ca-pub-1124263613222640
ca-pub-1440562457773158

Motivet

Për të kuptuar motivet e sulmuesve duhet fillimisht të kuptojnë çfarë është AdSense dhe si funksionon. Shpjegimi më i mirë vjen nga vetë Google:

Pronarët e uebsajteve vendosin reklama të Google në uebsajtet e tyre dhe paguhen për numrin e shikimeve dhe klikimeve marrin. Nuk ka rëndësi nga vinë ato klikime për sa kohë janë vizitorë duke ju dhënë përshtypjen reklamuesve sikur reklamat e tyre janë parë.

Sigurisht uebsajtet e cilësisë së ulët me këtë infektim do të gjeneronin zero trafik organik dhe e vetmja mënyrë mbetet përmes skemave të rrezikshme.

E thënë thjeshtë ridrejtim të padëshiruara përmes URL-ve të shkurtuara në uebsajtet Q&A rezultojnë në klikime dhe shikime të fryra artificialisht dhe si rezultat të ardhura të shtuara.

Sipas politikave të Google një sjellje e tillë nuk është e pranueshme.

Analiza e maluerit

Le ti hedhim një sy maluerit përgjegjës për këto ridrejtime që vjen nga uebsajtet WordPress të hakuara.

Skripti ngjan në këtë formë:

<?php

define( ‘WP_USE_THEMES’, true );

require __DIR__ . ‘/wp-blog-header.php’;

?>

<?php $AKEjY = ‘bas’.’e64′.’_d’.’ecode’; $urmAW = ‘gzuncompr’.’ess’; $Oplcs = ‘st’.’rrev’; error_reporting(0); ini_set(‘error_log’, NULL); eval($Oplcs($urmAW($AKEjY(‘eJztW21v2kgQ/itWFClEqq7c

…redacted…..

WQ2G13dD4LpfDzcayxG86vx7fjP6G3BXeTW6anTFXeBaTkgOq/h3Y4Xs8l0NFN3jf8AHM1+Mw==’)))); ?>

Gjendet i injektuar në disa pjesë kyçe të temës dhe WordPress si:

  • ./index.php
  • ./wp-signup.php
  • ./wp-activate.php
  • ./wp-links-opml.php
  • ./wp-blog-header.php
  • ./wp-mail.php
  • ./wp-trackback.php
  • ./readme.html
  • ./xmlrpc.php
  • ./wp-comments-post.php
  • ./wp-cron.php
  • ./wp-content/themes/yourtheme/index.php
  • ./wp-content/themes/yourtheme/functions.php
  • ./wp-content/themes/yourtheme/404.php
  • ./wp-content/themes/yourtheme/header.php
  • ./wp-content/themes/yourtheme/footer.php

Sapo Sucuri dekodoi, arriti të shikonte skriptin base64 të injektuar në uebfaqe të uebsajtit të viktimave:

 

Skripti injektohet edhe në .html gjeneruar nga shtojcat cache si WP-Rocket.

Në disa uebsajte të infektuara gjendet një injektim i ngjashëm në wp-blog-header.php:

Kështu ngjan i dedokuar:

Rezultati? Në uebsajt vendosen backdoor-të të cilët ruajnë aksesin paautorizuar. Këto backdoor-ë shkakojnë më shumë të dhëna të dëmshme si dhe një skript Leaf PHP nga domaini filestack.live duke e vendosur në wp-includes, wp-admin dhe wp-content.

  • ./wp-includes/pCKqQeNBOYx.php
  • ./wp-admin/rDb5TIj1M9J.php
  • ./wp-content/Pg47FpYQhWI.php

Duke qenë se injektim i maluerit është bërë në wp-blog-header.php do të ekzekutohet saherë që uebsajti hapet duke ri-infektuar uebsajtin.

Teknika parandaluese

Sucuri nuk ka identifikuar një shtojcë të caktuar që lidhet me këtë fushatë, edhe pse hakerët në mënyrë rutinore shfrytëzojnë probleme sigurie dhe testojnë ekzistencën e tyre.

Inkurajohet përditësimi i shtojcave, temave dhe WordPress në versionin më të fundit, sigurimin e paneleve wp-admin dhe përdorimin e 2FA.

Nëse jeni hakuar, ndryshoni të gjitha pikat e aksesit nga fjalëkalime, tek kredenciale, llogari FTP, cPanel dhe hosting.

Mund të përdorni një firewall në uebsajtin tuaj.

Tags
N. D. Send an email 10:49, 16-02-2023
0

Lajme të ngjashme

Gmail. Foto: Prathan Chorruangsak në Canva

Gmail do të ketë shenjën blu të verifikimit

16:58, 04-05-2023

RMV, njohuri të pamjaftueshme mbi sulmet kibernetike, sulmuesit e institucioneve kërkuan shpërblim në kriptovaluta

08:00, 01-05-2023

Google kritikohet për aplikacionin Authenticator pasi hulumtuesit zbulojnë një shqetësim sigurie

19:32, 28-04-2023

Interneti dhe ndikimi i tij në shëndetin mendor

19:39, 27-04-2023

Leave a Reply

Your email address will not be published. Required fields are marked *

Përveç në rastet kur në mënyrë eksplicite nuk është theksuar ndryshe, përmbajtjet e Portalb.mk janë të licencuara sipas licencës Creative Commons Thekso Burimin 2.5
Back to top button

Terms and Conditions - Privacy Policy