Хакерская группа взломала порядка 15 тыс. сайтов, в основном работающих на WordPress. Злоумышленники используют скомпрометированные ресурсы для так называемого «черного SEO». Они добавляют на каждый сайт около 20 тыс. файлов, чтобы перенаправлять пользователей на поддельные Q&A-форумы.
Кампания была замечена аналитиками из Sucuri. По их мнению, злоумышленники, заражая сайты своими файлами, пытаются повысить количество проиндексированных страниц и улучшить рейтинг своих фейковых сайтов в поисковых системах.
В дальнейшем они могут использоваться для распространения малвари или фишинговых кампаний, так как попадание на первую страницу поисковой выдачи Google даже на короткое время может привести к большому числу заражений. Кроме того, не исключен и вариант с привлечением трафика для мошенничества с рекламой. На это указывает обнаруженный на фальшивом ресурсе файл ads.txt.
После взлома хакеры модифицируют существующие PHP-файлы, внедряя в них перенаправления на поддельные Q&A-форумы. В отдельных случаях хакеры прибегают к размещению на взломанных сайтах собственных PHP-файлов, используя для этого случайные или псевдолегитимные имена вроде wp-logln.php.
Благодаря этим действиям хакеры перенаправляют трафик на URL-адрес, имитирующий клик по результату поиска из Google, который, в свою очередь, уже ведет на продвигаемый злоумышленниками Q&A-сайт. Это позволяет «обмануть» систему и сделать вид, что фейковые сайты популярны.
Источник: Sucuri
