Los redireccionamientos de SEO maliciosos se pueden describir como malware diseñado para secuestrar un sitio web con el fin de abusar de sus recursos. Los atacantes usan esto para promocionar productos de su interés.
¿Cómo funciona?
Un aspecto notable de la campaña analizada es la capacidad de los hackers para modificar más de 100 archivos de media por sitio web, un enfoque que contrasta drásticamente con otros ataques de este tipo en los que sólo se manipula un número limitado de archivos para reducir la huella y escapar a la detección.
Al centrarse en páginas de WordPress afecta a sus archivos centrales. Por otro lado también infecta archivos .php maliciosos creados por otras campañas de malware no relacionadas.
Archivos más comunmente infectados:
- ./wp-signup.php
- ./wp-cron.php
- ./wp-enlaces-opml.php
- ./wp-settings.php
- ./wp-comentarios-post.php
También se han descubierto otras instancias en las que la infección se encontró con nombres de archivos aleatorios. P.E: «RVbCGlEjx6H.php» o «lfojmd.php».
Dado que el malware se entrelaza con las operaciones centrales de WordPress esta redirección puede ejecutarse en los navegadores de cualquiera que visite el sitio web.
Técnicas de evasión
A continuación tenemos un ejemplo del código malicioso encontrado inyectado en el archivo index.php principal.
La redirección no ocurrirá si la cookie «wordpress_logged_in» está presente o si la web actual es «wp-login». Se trata de una forma de evasión ante los administradores del sitio web.
En todos los casos el malware redirigía a archivos .png. Las versiones básicas hacían la redirección a https://ois[.]is/images/logotipo.png mientras que las versiones complejas eligen uno de los 8 archivos siguientes «logo-1.png» «logo-2.png» «logo-3.png» «logo-4.png» «logo-5.png» «logo-6.png» «logo-7.png» «logo-8.png».
Las redirecciones han ido rotando y se han identificado numerosos dominios distintos.
Entre ellos están:
- es.w4ksa[.]com
- paz.yomeat[.]com
- qa.bb7r[.]com
- en.ajeel[.]tienda
- qa.istisharaat[.]com
- es.photolovegirl[.]com
- es.poxnel[.]com
- qa.tadalafilhot[.]com
- preguntas.rawafedpor[.]com
- qa.elbwaba[.]com
- preguntas.primerobjetivo[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
El contenido de destino y temas de spam están asociados a temas financieros y de criptomonedas. Hasta el momento no se ha detectado ningún comportamiento malicioso en estas páginas a las que redirige, aunque no se descarta que en el futuro pudiesen comenzar a redirigir el tráfico a otros sitios web de terceros.
Desde Hispasec aconsejamos realizar una verificación de integridad del archivo central. Por otro lado, si se sabe cuando ocurrió el ataque, se puede ejecutar un comando en local o a través de SSH para buscar todos los archivos modificados en X tiempo ($ find . -type f -mtime -15).
Más información:
![https://ois[.]is/images/logotipo.png](https://ois[.]is/images/logotipo.png){kind=link}
Deja una respuesta