Một chiến dịch độc hại mới đã xâm phạm hơn 15,000 trang web WordPress trong nỗ lực chuyển hướng khách truy cập đến các cổng Hỏi & Đáp không có thật.
"Những chuyển hướng độc hại này dường như được thiết kế để tăng thẩm quyền của các trang web của kẻ tấn công đối với các công cụ tìm kiếm", nhà nghiên cứu Ben Martin của Sucuri cho biết trong một báo cáo được công bố vào tuần trước, gọi đó là "thủ thuật SEO mũ đen thông minh".
Kỹ thuật đầu độc công cụ tìm kiếm được thiết kế để quảng bá "một số trang web Hỏi và Đáp chất lượng thấp giả mạo" chia sẻ các mẫu xây dựng trang web tương tự và được vận hành bởi cùng một tác nhân đe dọa.
Một khía cạnh đáng chú ý của chiến dịch là khả năng tin tặc sửa đổi trung bình hơn 100 tệp trên mỗi trang web, một cách tiếp cận tương phản đáng kể với các cuộc tấn công khác thuộc loại này, trong đó chỉ có một số lượng tệp hạn chế bị giả mạo để giảm dấu chân và thoát khỏi sự phát hiện.
Một số trang bị nhiễm phổ biến nhất bao gồm wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php và wp-blog-header.php.
Sự xâm phạm mở rộng này cho phép phần mềm độc hại thực hiện chuyển hướng đến các trang web mà kẻ tấn công lựa chọn. Cần lưu ý rằng việc chuyển hướng không xảy ra nếu cookie wordpress_logged_in có mặt hoặc nếu trang hiện tại là wp-login.php (tức là trang đăng nhập) để tránh gây nghi ngờ.
Mục tiêu cuối cùng của chiến dịch là "thúc đẩy nhiều lưu lượng truy cập hơn đến các trang web giả mạo của họ" và "tăng cường quyền hạn của các trang web bằng cách sử dụng các nhấp chuột kết quả tìm kiếm giả mạo để giúp Google xếp hạng chúng tốt hơn để chúng nhận được nhiều lưu lượng tìm kiếm không phải trả tiền thực hơn".
Mã được tiêm sẽ đạt được điều này bằng cách bắt đầu chuyển hướng đến hình ảnh PNG được lưu trữ trên miền có tên "ois[.] là", thay vì tải hình ảnh, đưa khách truy cập trang web đến URL kết quả tìm kiếm của Google của miền Hỏi & Đáp spam.
Hiện vẫn chưa rõ các trang web WordPress bị xâm phạm như thế nào và Sucuri cho biết họ không nhận thấy bất kỳ lỗi plugin rõ ràng nào được khai thác để thực hiện chiến dịch.
Điều đó nói rằng, nó bị nghi ngờ là một trường hợp vũ phu ép buộc tài khoản quản trị viên WordPress, điều cần thiết là người dùng phải kích hoạt xác thực hai yếu tố và đảm bảo rằng tất cả phần mềm đều được cập nhật.