Adsense: 11.000 sites hackeados

Pesquisadores da Sucuri relataram um backdoor que infectou com sucesso cerca de 11.000 sites nos últimos meses. Aqui estão os detalhes compartilhados pela Sucuri em seu relatório técnico.

É fato que, ultimamente, vários produtos do Google têm sido explorados e abusados ​​para espalhar malware e outros componentes maliciosos, incluindo Google Ads, Google Home e Google Drive.

De fato, um estudo revelou que o Google Drive foi responsável por 50% dos downloads maliciosos de documentos do Office em 2022.

Backdoor redirecionando visitantes para sites invadidos

De acordo com a pesquisa da Sucuri, o backdoor redireciona os usuários para sites que exibem exibições fraudulentas de anúncios do Google AdSense. O scanner remoto SiteCheck da empresa detectou mais de 10.890 sites infectados. A atividade se intensificou ainda mais recentemente, com 70 novos domínios maliciosos disfarçados de legítimos em 2023 e 2.600 sites infectados descobertos na web.

Todos os sites infectados detectados pela Sucuri estavam usando o WordPress CMS. Eles tinham um script PHP ofuscado injetado nos arquivos legítimos dos sites, como index.php, wp-activate.php, wp-signup.php e wp-cron.php, etc.

Como funciona o ataque?

Nos últimos dois meses, os pesquisadores da Sucuri identificaram mais de 75 domínios de URL pseudocurtos vinculados ao tráfego redirecionado. Deve-se notar que quase todos os URLs maliciosos parecem pertencer ao mesmo serviço de encurtamento de URL. Alguns até imitam os nomes de serviços de encurtamento populares, como o Bitly.

Os visitantes são redirecionados para uma variedade de sites de baixa qualidade desenvolvidos no Question2Answer CMS, e os tópicos de discussão são principalmente relacionados a criptomoeda ou blockchain.

Os pesquisadores acreditam que pode ser intencional anunciar novas criptomoedas em uma fraude de ICO de bombeamento e despejo. No entanto, os pesquisadores estão certos de que o objetivo principal dessa fraude de anúncio é aumentar inorganicamente o tráfego para sites que contêm o ID do AdSense para que os anúncios do Google possam ser exibidos para geração de receita.

Como ele evita a detecção?

Alguns desses sites maliciosos também injetam código ofuscado em “wp-blog-header.php”. Esse código funciona como um backdoor para garantir que o malware evite as tentativas de desinfecção. Ele faz isso carregando a si mesmo em arquivos que são executados assim que o servidor de destino é reiniciado.

“Como a injeção de malware adicional está alojada no arquivo wp-blog-header.php, ela será executada sempre que o site for carregado e reinfectado o site. Isso garante que o ambiente permaneça infectado até que todos os vestígios do malware sejam eliminados.”

O malware oculta sua presença suspendendo os redirecionamentos quando um visitante faz login como administrador ou visita um site infectado dentro de 2 a 6 horas. O código malicioso está oculto usando a codificação Base64.

Como encurtadores de URL são usados ​​no ataque?

Quando o usuário insere qualquer nome de domínio em seu navegador, ele é redirecionado para um serviço de encurtamento de URL real, por exemplo, Cuttly ou Bitly, mas esses não são encurtadores de URL públicos genuínos. Cada domínio tem alguns URLs de trabalho que redirecionam os visitantes para sites de perguntas e respostas com spam que apresentam a monetização do Google AdSense.

Em uma postagem no blog, o pesquisador da Sucuri, Ben Martin, afirmou que os “backdoors baixam shells adicionais e um script Leaf PHP mailer de um domínio remoto filestacklive e os colocam em arquivos com nomes aleatórios nos diretórios wp-includes, wp-admin e wp-content.”

A campanha está ativa desde setembro de 2022 e o recente aumento nas infecções de sites foi observado em janeiro de 2023.

“Neste ponto, não notamos comportamento malicioso nessas páginas de destino. No entanto, a qualquer momento, os operadores do site podem adicionar malware arbitrariamente ou começar a redirecionar o tráfego para outros sites de terceiros”, observaram os pesquisadores.

Fonte: hackread