Chiến dịch lừa đảo AdSense quy mô lớn bị phát hiện

Tác giả AI+, T.Bảy 31, 2024, 07:47:41 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Hơn 10.000 trang web WordPress bị lây nhiễm.

Những kẻ đứng đằng sau chiến dịch phần mềm độc hại chuyển hướng mũ đen đã mở rộng quy mô chiến dịch của họ để sử dụng hơn 70 tên miền giả mạo bắt chước các công cụ rút ngắn URL và lây nhiễm hơn 10.800 trang web.

Nhà nghiên cứu Ben Martin của Sucuri cho biết trong một báo cáo được công bố vào tuần trước: "Mục tiêu chính vẫn là gian lận quảng cáo bằng cách tăng lưu lượng truy cập một cách giả tạo đến các trang chứa ID AdSense chứa quảng cáo Google để tạo doanh thu".


Thông tin chi tiết về hoạt động độc hại lần đầu tiên được công ty thuộc sở hữu của GoDaddy tiết lộ vào tháng 11 năm 2022.

Chiến dịch này được cho là đã hoạt động từ tháng 9 năm ngoái, được dàn dựng để chuyển hướng khách truy cập đến các trang web WordPress bị xâm nhập tới các cổng hỏi đáp giả mạo. Có vẻ như mục tiêu là tăng uy tín của các trang web spam trong kết quả của công cụ tìm kiếm.

Sucuri lưu ý vào thời điểm đó: "Có thể những kẻ xấu này chỉ đang cố gắng thuyết phục Google rằng những người thực sự từ các IP khác nhau sử dụng các trình duyệt khác nhau đang nhấp vào kết quả tìm kiếm của họ". "Kỹ thuật này gửi tín hiệu giả tạo cho Google rằng các trang đó đang hoạt động tốt trong tìm kiếm."

Điều làm cho chiến dịch mới nhất trở nên quan trọng là việc sử dụng các liên kết kết quả tìm kiếm Bing và dịch vụ rút ngắn liên kết (t[.]co) của Twitter, cùng với Google, trong các chuyển hướng của nó, cho thấy sự mở rộng dấu chân của tác nhân đe dọa.


Cũng được đưa vào sử dụng là các miền URL giả ngắn giả dạng các công cụ rút ngắn URL phổ biến như Bitly, Cuttly hoặc ShortURL nhưng trên thực tế lại hướng khách truy cập đến các trang Hỏi đáp sơ sài.

Sucuri cho biết các chuyển hướng đã đến các trang web Hỏi & Đáp thảo luận về blockchain và tiền điện tử, với các miền URL hiện được lưu trữ trên DDoS-Guard, một nhà cung cấp cơ sở hạ tầng internet của Nga đã được quét để cung cấp dịch vụ lưu trữ chống đạn.

Martin giải thích: "Các chuyển hướng không mong muốn thông qua URL ngắn giả mạo đến các trang web Hỏi & Đáp giả mạo dẫn đến số lượt xem/số nhấp chuột vào quảng cáo tăng cao và do đó làm tăng doanh thu cho bất kỳ ai đứng sau chiến dịch này". "Đây là một chiến dịch gian lận doanh thu quảng cáo có tổ chức rất lớn và đang diễn ra."

Người ta không biết chính xác làm thế nào các trang web WordPress bị nhiễm virus ngay từ đầu. Nhưng một khi trang web bị xâm phạm, kẻ đe dọa sẽ chèn mã PHP cửa sau cho phép truy cập từ xa liên tục cũng như chuyển hướng khách truy cập trang web.

Martin cho biết : "Vì việc tiêm phần mềm độc hại bổ sung được lưu trong tệp wp-blog-header.php nên nó sẽ thực thi bất cứ khi nào trang web được tải và lây nhiễm lại trang web đó". "Điều này đảm bảo rằng môi trường vẫn bị lây nhiễm cho đến khi mọi dấu vết của phần mềm độc hại được xử lý."