Gli esperti di Sucuri hanno scoperto che oltre 11.000 siti WordPress sono stati compromessi da una backdoor introdotta da un gruppo di hacker che utilizza oltre 70 domini fake per ridurre la lunghezza delle URL.
La backdoor introdotta dagli hacker ha simulato i clic, avviando un reindirizzamento della vittima a un’immagine PNG ospitata nel dominio ois[.]is. Il punto è che invece di caricare effettivamente le immagini, i visitatori sono stati reindirizzati a un URL dei risultati di ricerca di Google che porta a uno dei falsi siti di domande e risposte creati dal gruppo. Questo metodo invia artificialmente segnali a Google che queste pagine stanno presumibilmente andando bene nella ricerca.
Come sono stati compromessi i siti WordPress
Secondo i ricercatori, l’obiettivo principale degli hacker era quello di aumentare l’autorità dei propri siti sui motori di ricerca, facendo SEO black hat. Con l’aiuto di risorse compromesse, gli hacker hanno promosso attivamente i propri “siti di domande e risposte di bassa qualità” utilizzando gli stessi modelli e chiaramente creati dallo stesso gruppo. Tale compromissione estesa ha consentito agli aggressori di reindirizzare numerosi visitatori alle risorse compromesse su qualsiasi sito di loro scelta.
Gli hacker hanno modificato in media più di 100 file su ciascuna risorsa interessata, il che sembrava piuttosto insolito. Tra le pagine “più infette”, gli analisti hanno elencato wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail. php, xmlrpc.php, wp-activate.php, wp-trackback.php e wp-blog-header.php.
La campagna è ancora attiva
Come riportano ora i ricercatori, questa campagna è ancora attiva e continua ad espandersi. Solo nel 2023 sono stati scoperti più di 2.600 siti Web compromessi. Gli hacker utilizzano anche domini con accorciatori di URL falsi che si mascherano come strumenti di accorciamento di URL popolari e reali, come Bitly, Cuttly o ShortURL.
Vale la pena dire che finora i ricercatori non hanno identificato nulla di dannoso su queste pagine di destinazione. Ma avvertono che gli operatori di questi siti possono attivare qualche tipo di malware in qualsiasi momento o iniziare a reindirizzare il traffico da qualche altra parte. L’intero scopo della campagna al momento sembra essere generare traffico verso siti contenenti annunci Google AdSense.
Come proteggere i siti WordPress dalla backdoor
Per proteggere i siti WordPress dalla backdoor, gli esperti di sicurezza consigliano di:
- Utilizzare plugin di sicurezza affidabili
Magnificent goods from you, man. I’ve understand your stuff previous to and you’re just
extremely wonderful. I actually like what you have
acquired here, certainly like what you are saying and the way in which you say it.
You make it entertaining and you still care for to keep it smart.
I can not wait to read far more from you. This is really a wonderful website.