- Новое открытие выявило фальшивый плагин WordPress, спрятанный в виде казино -спам -ссылок, инъецированных казино.
- Злоумышленники угнали законные веб -сайты и вставили спам -ссылки из опасных порталов.
- Это увеличивает результаты поисковой системы веб -сайтов злоумышленника из -за вставленных обратных ссылок.
Злоумышленники использовали поддельные плагины для вставки спама казино, компрометируя функциональность веб -сайта и рейтинг поисковых систем. Эта атака обходит проверку целостности и остается скрытой от ничего не подозревающих администраторов веб -сайтов, имитируя законные плагины в каталоге WordPress.
Последний зарегистрированный инцидент включает в себя спам -ссылки, связанные с онлайн -азартными играми, вводимыми в нижний колонтитул сайта WordPress.
Эти ссылки извлечены из злонамеренного URL — «JSScript[.]Верх » — кодированные VIA сценарии, содержащиеся в фальшивом плагине с именем« Security WordPress », как подробно описано Соки.
Маскируя как, казалось бы, безобидный плагин, злонамеренное программное обеспечение избегает обнаружения, используя такие методы, как запутывание и выполнение одного файла. Это гарантирует, что даже тщательные проверки целостности в WordPress не могут обнаружить вредоносное ПО.
Атака начинается с функции дешифрования XOR, которая раскрывает закодированный URL. Оттуда плагин использует функции Curl для извлечения внешних данных JSON, содержащих список спам -ссылок.
Затем вредоносное ПО декодирует, перетасовывает и вставляет эти ссылки в нижний колонтитул веб -сайта как для посетителей, так и для поисков.
Такие действия, по -видимому, служат трем основным целям для злоумышленников — SEO Black Hat, перенаправление трафика и платные схемы ссылок.
Домены злоумышленника улучшают их рейтинг поиска, создавая обратные ссылки с законных сайтов. Пользователи, нажимающие на эти ссылки, перенаправлены на потенциально вредные веб -сайты, и злоумышленники могут получить выгоду от продажи этих размещений недобросовестным организациям.
В другом отчете Sucuri говорилось, что скомпрометированный сайт WordPress был манипулирован для размещения страниц спама со ссылками, связанными с казино. Удолошение было скрыто с использованием простого оператора «включить» в теме WordPress, ссылаясь на вредоносный файл, расположенный над WebRoot.
