Colin-Thierry
Environ 15,000 XNUMX sites Web ont été compromis récemment dans une campagne d'optimisation des moteurs de recherche (SEO) black hat. Les acteurs de la menace ont édité des milliers de sites Web pour rediriger les utilisateurs vers des forums de discussion de questions-réponses frauduleux.
La campagne de référencement a été découverte par la société de sécurité Web Sucuri, qui pense que les attaquants visaient à renforcer l'autorité de leurs faux sites Web. La société a déclaré que les sites Web les plus touchés utilisaient WordPress et que chacun hébergeait environ 20,000 XNUMX fichiers alimentant la campagne malveillante.
Bien qu'ils semblent inoffensifs, les faux sites Web de questions-réponses peuvent toujours être transformés en armes et utilisés pour déposer des logiciels malveillants ou devenir des sites Web de phishing. Les acteurs de la menace pourraient également utiliser le classement artificiellement gonflé des sites Web pour lancer une attaque de suppression de logiciels malveillants.
Cependant, les experts ont trouvé un fichier "ads.txt" sur certains des domaines escrocs, ce qui les a amenés à croire que les attaquants pourraient vouloir générer plus de trafic pour commettre une fraude publicitaire.
D'après Sucuri rapport mardi, les pirates ont injecté des redirections dans les fichiers principaux de WordPress, mais ont également "infecté des fichiers .php malveillants créés par d'autres campagnes de logiciels malveillants non liés". Une analyse plus approfondie par la société de sécurité Web a révélé que les acteurs de la menace ont également infecté «des noms de fichiers aléatoires ou pseudo-légitimes».
Les fichiers compromis hébergent un code malveillant qui redirige les visiteurs vers une URL d'image s'ils ne sont pas connectés à WordPress. Cependant, au lieu d'afficher une image, l'URL utilise JavaScript pour rediriger les utilisateurs vers une URL de clic de recherche Google. Cela les conduit ensuite au site Web frauduleux de questions-réponses.
Bien que Sucuri n'ait trouvé aucune vulnérabilité de plug-in immédiatement évidente dans son analyse, il n'a toujours pas exclu les pirates utilisant des kits d'exploit pour "sonder les composants logiciels vulnérables courants".
La société a conclu son rapport en énumérant des conseils d'atténuation pour les utilisateurs contre la nouvelle campagne de référencement Black Hat, qui comprend:
- Mettez à jour le logiciel de votre site Web vers la dernière version et appliquez les derniers correctifs.
- Activation de l'authentification à deux facteurs (2FA) pour les comptes d'administrateur.
- Modification de tous les mots de passe administrateur et point d'accès.
- Utiliser un pare-feu pour protéger votre site Web.
