بیش از 15000 سایت وردپرس تحت تأثیر کمپین سئوی مخرب قرار گرفته اند
یک کمپین مخرب جدید سئو با موفقیت بیش از 15000 وب سایت وردپرسی را در معرض خطر قرار داده است. هدف از این کمپین هدایت کاربران به سایت های جعلی پرسش و پاسخ برای افزایش بازدیدکنندگان است. در یک کمپین جدید تغییر مسیر کلاه سیاه، هکرها موفق شده اند بیش از 15000 وب سایت وردپرسی را به خطر بیاندازند تا رتبه موتور جستجوی وب سایت های ساختگی مختلف را افزایش دهند.
طبق گزارش سایت Sucuri، از سپتامبر 2022 افزایش قابل توجهی در سایت های تغییر مسیر بدافزار وردپرس وجود داشته است. این سایت های تغییر مسیر کاربران را به درگاه های جعلی و بی کیفیت پرسش و پاسخ می کشاند. تنها در ماه های سپتامبر و اکتبر، هکرها توانستند با موفقیت بیش از 2500 سایت را هدف قرار دهند.
Sucuri، تاکنون 14 وب سایت جعلی را شناسایی کرده که سرورهای آنها توسط یک پروکسی مخفی شده است. سوالات نمایش داده شده در سایت ها از پلتفرم های پرسش و پاسخ قانونی دیگر استخراج می شوند. با افزایش رتبه سئو، این سایت ها می توانند افراد بیشتری را جذب کنند. سایت های جعلی مورد استفاده در این کمپین تغییر مسیر، قادر به انتشار بدافزار به بازدیدکنندگان هستند. برخلاف بسیاری از سایتهای مخرب، این انجمنهای پرسش و پاسخ ساختگی خاص میتوانند بیش از 100 فایل آلوده را در هر سایت تغییر دهند. این اغلب انجام نمی شود، زیرا احتمال تشخیص و خاتمه آنها را بیشتر می کند.
در پست وبلاگ فوق الذکر، Sucuri بیان کرد که بیشتر فایل های آلوده فایل های اصلی وردپرس هستند، اما تعدادی از فایل ها را که بیشتر آلوده می شوند، لیست کرده که همگی دارای پسوند php هستند. لیست فایل های .php آلوده در زیر نشان داده شده است:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Sucuri همچنین تاکید کرد که این بدافزار در برخی از نامهای فایلهای شبه قانونی که توسط خود هکرها حذف شدهاند، وجود دارد، از جمله:
- RVbCGlEjx6H.php
- lfojmd.php
- wp-newslet.php
- wp-ver.php
- wp-logln.php
Sucuri هنوز کشف نکرده است که چگونه این هکرهای کلاه سیاه به این سایت های وردپرس نفوذ می کنند، اما تصور می شود که یک پلاگین آسیب پذیر یا حمله brute-force محتمل ترین مقصر هستند. هکرها ممکن است از یک کیت بهره برداری برای جستجوی آسیب پذیری های امنیتی در افزونه ها برای برجسته کردن یک هدف استفاده کنند. از طرف دیگر، رمز ورود مدیر سایت وردپرس می تواند با استفاده از یک الگوریتم در یک حمله brute-force شکسته شود.
این اولین باری نیست که سایت های وردپرس مورد هدف عوامل مخرب قرار می گیرند. میلیونها سایت وردپرس در گذشته توسط مجرمان سایبری در معرض خطر قرار گرفتهاند، و شکی نیست که بسیاری از سایتهای دیگر همچنان قربانی چنین حملاتی خواهند شد.