Gjilan.AL

G-Lan City

Mijëra uebsajte WordPress të infektuara ridrejtojnë tek një fushatë mashtrimi me Google AdSense

Vitin e kaluar u raportua një fushatë malueri që vinte në shënjestër mijëra uebsajte WordPress duke ridrejtuar përdoruesit në uebfaqe të dëmshme Q&A. Vetë uebsajtet kishin shumë pak informacion të dobishëm për një vizitor normal por më e rëndësishmja përmbanin reklama Google Adsense. Dukej një përpjekje për të fryrë artificialisht shikimet dhe gjeneruar të ardhura.

Që prej Shtatorit, SiteCheck i Sucuri ka identifikuar këtë fushatë e cila infektoi 10890 uebsajte. Së fundi aktiviteti është shtuar ku 70 domaine të reja uebsajtesh të dëmshme maskohen si shkurtues URL. Në këto momente që shkruajmë, mbi 2600+ sajte në 2023 janë identifikuar.

Në këtë artikull do të analizojmë shtrirjen e këtij malueri si funksionon dhe çfarë duhet të bëni nëse uebsajti juaj është prekur nga ky infektim.

Variacione në tematika

Siç kemi parë në valën e fundit, trafiku i një uebsajti të hakuar ridrejtohet tek uebsajte me cilësi të ulët ndërtuar me CMS-në Question2Answer. Temat e diskutimeve kanë të bëjnë kryesisht për kriptomonedhat dhe blockchain.

Në fillim duke sikur janë ndërtuar me qëllim për të reklamuar kriptomonedhat përmes skemave ICO dhe mashtruar njerëzit, por më vonë kuptohet se objektivi kryesor është mashtrimi me reklamat Adsense duke fryrë trafikun artificialisht dhe gjeneruar të ardhura nga reklamat e Google.

Domaine uebsajtesh për shkurtim të URL

Përgjatë dy muajve të fundit janë identifikuar mbi 75 pseudo-domain për shkurtimin e url që ridrejtojnë në këto uebsajte:

0-4[.]top/GQH0r3
012[.]bond/lUg0r3
5pm[.]am/BZl0r8
77w[.]pw/ZTe0r7
7la[.]la/ywI0r0
99pw[.]pw/Epo0r2
9ge[.]ge/bwN0c6
b-d[.]bond/wpZ0r1
b-i-t-l-y[.]co/bNA0r5
b-ly[.]link/pge0r3
b-y[.]by/prB0r7
bit-ly[.]is/UBz0r9
bit-ly[.]mobi/cMq0r0
bitly[.]best/oMR0r0
bitly[.]email/liy0r3
bitly[.]gold/hNL0r9
bitly[.]host/MOA0r3
bitly[.]network/VKu0r1
c-lick[.]click/Cau0r1
c-you[.]cyou/hIK0r7
cc-z[.]cz/jGA0r4
co-o[.]co/Fja0r8
cr-7[.]cc/rfl0r0
cutlinks[.]biz/Hwa0r9
cutlinks[.]ca/63H5U
cutlinks[.]mobi/sdr0r8
cutlinks[.]org/63H5U
cutlinks[.]pw/Gvt0r8
cuturls[.]net/zVU0r0
d-ev[.]dev/xgL0r1
fco[.]to/vUC0r7
fmo[.]fm/KFS0r2
g-l[.]gl/TlX0r9
g-y[.]gy/Pvd0r5
co[.]il/Vym0r1
gov-cn[.]cloud/YsL0r9
co[.]ve/WEQ0r1
h-air[.]hair/eWP0r1
i-cu[.]icu/Twa0r4
i-io[.]io/CgD0r2
i-n-fo[.]info/bPX0r6
i-s[.]is/ixF0r7
icx[.]cx/oaC0r7
ii-ii[.]ru/yjh0r6
ilc[.]lc/vQO0r3
isn[.]is/63H5U
isx[.]sx/mqJ0r3
j-e[.]je/DDn0c1
l-o[.]loan/AKI0r1
l-ol[.]lol/DiB0r3
lbz[.]bz/cro0r5
m-n[.]mn/DrG0r6
mvc[.]vc/nMo0r3
n-g[.]ng/Vwi0r2
n-z[.]nz/KoC0r8
obz[.]bz/HqD0r5
oo-o[.]co/Ocv0c1
oo[.]coffee/Dxw0r3
psu[.]su/sDy0r2
s-k[.]sk/pHH0r7
s-b[.]sb/QvS0r2
s-sh[.]sh/QAP0r9
sy-s[.]systems/hwE0r1
t-o[.]to/MMn0r9
tiny-url[.]mobi/ACE0r0
u-mu[.]mu/Dwk0r8
uxe[.]luxe/jfA0r6
vms[.]ms/dmc0r0
vv-vip[.]vip/GkE0r9
vvg[.]vg/yDY0r4
w-me[.]me/hRM0r9
w-tw[.]tw/Oki0r9
w-ws[.]ws/ONk0r3
wac[.]ac/wXB0r4
wci[.]ci/Zpm0r0
wco[.]pw/Eox0r5
wst[.]st/prQ0r9
xx-yz[.]xyz/YNB0r6

Të gjitha këto URL pretendojnë të duken sikur i përkasin një uebsajti për shkurtimin e URL-ve. Disa prej tyre imitojnë emra të njohur si bitly.best, b-i-t-l-y.co apo bit-ly.mobi.

Nëse hyni në një prej këtyre domaineve në shfletues, do të ridrejtoheni tek një shërbim për shkurtimin e URL-ve si Bitly, Cuttly dhe ShortUrl.at duke i bërë të duken si shërbime alternative nga platforma të njohura.

Por në të vërtetë nuk janë shkurtes URL por uebsajte spam që çojnë vizitorët tek sajte Q&A me reklama AdSense. Janë regjistruar të gjitha specifikisht për këtë fushatë. Për shembull një domain i ri c-lick.click është krijuar më 20 Janar 2023.

Migrimi nga Cloudflare në DDoS-Guard

Në fazat e para të fushatës, pseudo-domaine për shkurtimin e URL-ve kanë përdorur shërbimin e Cloudflare për të fshehur serverët e tyre realë. Por pas raportimit të Sucuri, Cloudflare i bllokoi duke shfaqur adresa reale IP të tyre përfshirë 172.96.189[.]69, 198.27.80[.]139, 142.11.214[.]173.

After CloudFlare booted the redirect domains, we can see their IPs:⁰
172.96.189.69: cutlinks[.ca, cuturls[.net, cutlinks[.ch, qis[.is,i-n-fo[.info, ufox[.info
198.27.80.139: c-you[.cyou, cutlinks[.pw
142.11.214.173: gov-cn[.cloud, bitly[.email
Re: https://t.co/MKTrAMgOU3

— Denis (@unmaskparasites) December 14, 2022

Së fundi aktorët e këqij zhvendosën të gjithë domainet e tyre drejt DDoS-Guard, një shërbim kontrovers Rus për mbrojtje DDoS që funksionon si një kompani në Belize. Të gjitha këto domaine mund të gjenden në IP 190.115.26.9.

Për më tepër, njëlloj si vala e mëhershme e maluerit, trafiku ridrejtohet përmes Google Search në përpjekje për ta bërë të duket sa më legjitim.

Ridrejtime në Bing dhe Twitter

Përveç Google, kjo fushatë përpiqet të ridrejtojë përdoruesit nëpër rezultatet e kërkimit të Bing dhe URL-ve të shkurtuara përmes Twitter si t[.]co/Xa4ZRqsp8C dhe t[.]co/KgdLpz31TG.

Çdo ridrejtim i testuar të çonte tek një prej sajteve Q&A ku diskutohej për kriptomonedhat, por ID Adsense ndryshonte mes sajteve të ndryshme. Kjo është një listë destinacionesh vëzhguar nga Sucuri:

hxxps://ask[.]elbwaba[.]com
hxxps://btc[.]yomeat[.]com
hxxps://eq[.]yomeat[.]com
hxxps://en[.]elbwaba[.]com
hxxps://en[.]firstgooal[.]com
hxxps://ust[.]aly2um[.]com
hxxps://plus[.]cr-halal[.]com
hxxps://en[.]rawafedpor[.]com
hxxps://btc[.]latest-articles[.]com
hxxps://news[.]istisharaat[.]com

AdSense ID

Sucuri ka identifikuar këto ID AdSense përdorur në uebsajtet e infektuara:

en[.]rawafedpor[.]com
ca-pub-8594790428066018

plus[.]cr-halal[.]com
ca-pub-3135644639015474

eq[.]yomeat[.]com
ca-pub-4083281510971702

news[.]istisharaat[.]com
ca-pub-6439952037681188

en[.]firstgooal[.]com
ca-pub-5119020707824427

ust[.]aly2um[.]com
ca-pub-8128055623790566

btc[.]latest-articles[.]com
ca-pub-4205231472305856

ask[.]elbwaba[.]com
ca-pub-1124263613222640
ca-pub-1440562457773158

Motivet

Për të kuptuar motivet e sulmuesve duhet fillimisht të kuptojnë çfarë është AdSense dhe si funksionon. Shpjegimi më i mirë vjen nga vetë Google:

Pronarët e uebsajteve vendosin reklama të Google në uebsajtet e tyre dhe paguhen për numrin e shikimeve dhe klikimeve marrin. Nuk ka rëndësi nga vinë ato klikime për sa kohë janë vizitorë duke ju dhënë përshtypjen reklamuesve sikur reklamat e tyre janë parë.

Sigurisht uebsajtet e cilësisë së ulët me këtë infektim do të gjeneronin zero trafik organik dhe e vetmja mënyrë mbetet përmes skemave të rrezikshme.

E thënë thjeshtë ridrejtim të padëshiruara përmes URL-ve të shkurtuara në uebsajtet Q&A rezultojnë në klikime dhe shikime të fryra artificialisht dhe si rezultat të ardhura të shtuara.

Sipas politikave të Google një sjellje e tillë nuk është e pranueshme.

Analiza e maluerit

Le ti hedhim një sy maluerit përgjegjës për këto ridrejtime që vjen nga uebsajtet WordPress të hakuara.

Skripti ngjan në këtë formë:

<?php

define( ‘WP_USE_THEMES’, true );

require __DIR__ . ‘/wp-blog-header.php’;

?>

<?php $AKEjY = ‘bas’.’e64′.’_d’.’ecode’; $urmAW = ‘gzuncompr’.’ess’; $Oplcs = ‘st’.’rrev’; error_reporting(0); ini_set(‘error_log’, NULL); eval($Oplcs($urmAW($AKEjY(‘eJztW21v2kgQ/itWFClEqq7c

…redacted…..

WQ2G13dD4LpfDzcayxG86vx7fjP6G3BXeTW6anTFXeBaTkgOq/h3Y4Xs8l0NFN3jf8AHM1+Mw==’)))); ?>

Gjendet i injektuar në disa pjesë kyçe të temës dhe WordPress si:

./index.php
./wp-signup.php
./wp-activate.php
./wp-links-opml.php
./wp-blog-header.php
./wp-mail.php
./wp-trackback.php
./readme.html
./xmlrpc.php
./wp-comments-post.php
./wp-cron.php
./wp-content/themes/yourtheme/index.php
./wp-content/themes/yourtheme/functions.php
./wp-content/themes/yourtheme/404.php
./wp-content/themes/yourtheme/header.php
./wp-content/themes/yourtheme/footer.php

Sapo Sucuri dekodoi, arriti të shikonte skriptin base64 të injektuar në uebfaqe të uebsajtit të viktimave:

 

Skripti injektohet edhe në .html gjeneruar nga shtojcat cache si WP-Rocket.

Në disa uebsajte të infektuara gjendet një injektim i ngjashëm në wp-blog-header.php:

Kështu ngjan i dedokuar:

Rezultati? Në uebsajt vendosen backdoor-të të cilët ruajnë aksesin paautorizuar. Këto backdoor-ë shkakojnë më shumë të dhëna të dëmshme si dhe një skript Leaf PHP nga domaini filestack.live duke e vendosur në wp-includes, wp-admin dhe wp-content.

./wp-includes/pCKqQeNBOYx.php
./wp-admin/rDb5TIj1M9J.php
./wp-content/Pg47FpYQhWI.php

Duke qenë se injektim i maluerit është bërë në wp-blog-header.php do të ekzekutohet saherë që uebsajti hapet duke ri-infektuar uebsajtin.

Teknika parandaluese

Sucuri nuk ka identifikuar një shtojcë të caktuar që lidhet me këtë fushatë, edhe pse hakerët në mënyrë rutinore shfrytëzojnë probleme sigurie dhe testojnë ekzistencën e tyre.

Inkurajohet përditësimi i shtojcave, temave dhe WordPress në versionin më të fundit, sigurimin e paneleve wp-admin dhe përdorimin e 2FA.

Nëse jeni hakuar, ndryshoni të gjitha pikat e aksesit nga fjalëkalime, tek kredenciale, llogari FTP, cPanel dhe hosting.

Mund të përdorni një firewall në uebsajtin tuaj. /PCWorld Albanian

The post Mijëra uebsajte WordPress të infektuara ridrejtojnë tek një fushatë mashtrimi me Google AdSense appeared first on PCWorld Albanian.