Mais de 15 mil sites baseados em WordPress e sites que operam com outros publicadores foram redirecionados para páginas de perguntas e respostas de spam, de acordo com empresa de segurança de websites a Sucuri. Os hackers estão usando arquivos PHP modificados do WordPress e, em alguns casos, seus próprios arquivos PHP para fazer os redirecionamentos, com sites direcionados contendo em média 100 arquivos infectados cada.
Os sites de spam de destino, dos quais a Sucuri encontrou até agora 14, têm seus servidores escondidos atrás de um proxy CloudFlare. “Os sites parecem estar usando o mesmo padrão de perguntas e respostas e são construídos usando a plataforma de perguntas e respostas de código aberto Question2Answer (Q2A). De acordo com o site, essa plataforma está atualmente alimentando mais de 24.500 sites em 40 idiomas”, explicou a fornecedora.
Segundo a Sucuri, os sites de spam dos invasores são preenchidos com várias perguntas e respostas aleatórias encontradas em outros sites de perguntas e respostas. ‘Muitos deles têm criptomoedas e temas financeiros.”
Embora nenhuma atividade maliciosa tenha sido detectada nesses sites de spam, os operadores de ameaças por trás dessa campanha podem “adicionar malware arbitrariamente” a eles ou redirecionar os visitantes novamente para sites maliciosos de terceiros, alertou a Sucuri.
Veja isso
WordPress: versões anteriores à 6.02 estão em perigo
Kit de phishing usa PayPal para invadir sites do WordPress
“É possível que esses operadores estejam simplesmente tentando convencer o Google de que pessoas reais, de IPs diferentes, usando navegadores distintos, estão clicando em seus resultados de pesquisa. Essa técnica envia artificialmente ao Google sinais de que essas páginas estão tendo um bom desempenho na pesquisa”, acrescentou a fornecedora.
De acordo com a empresa, se este for o caso, é um truque de SEO bastante inteligente que raramente é visto sendo usado em grandes campanhas de hackers. “No entanto, seu efeito é questionável, uma vez que o Google receberá muitos ‘cliques’ nos resultados de pesquisa sem que nenhuma pesquisa real seja realizada.” Essa teoria é apoiada pelo fato de que os domínios de segundo nível dos sites de perguntas e respostas “parecem pertencer” aos mesmos indivíduos, acrescentou a Sucuri.
A campanha é um tanto incomum, pois apenas 13% de todas as infecções por spam de SEO são classificadas como redirecionamento malicioso, de acordo com a fornecedora.