Descubren una campaña masiva de fraude AdSense. Más de 10.000 sitios WordPress infectados

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Los autores de la campaña de redireccionamiento de sombrero negro han ampliado su campaña con más de 70 dominios falsos que imitan acortadores de URL y han infectado más de 10.800 sitios web.

“El objetivo principal sigue siendo el fraude publicitario mediante el aumento artificial del tráfico a páginas que contienen el ID de AdSense que contienen anuncios de Google para generar ingresos”, afirmó Ben Martin, investigador de Sucuri, en un informe publicado la semana pasada.

Los detalles de la actividad maliciosa fueron expuestos por primera vez por la empresa propiedad de GoDaddy en noviembre de 2022.

La campaña, que se dice que ha estado activa desde septiembre del año pasado, está orquestada para redirigir a los visitantes de sitios WordPress comprometidos a portales falsos de preguntas y respuestas. El objetivo, al parecer, es aumentar la autoridad de los sitios de spam en los resultados de los motores de búsqueda.

“Es posible que estos malos actores estén simplemente intentando convencer a Google de que personas reales de diferentes IP que utilizan diferentes navegadores están haciendo clic en sus resultados de búsqueda”, señaló Sucuri en su momento. “Esta técnica envía artificialmente a oogle señales de que esas páginas están funcionando bien en las búsquedas”.

Lo que hace que la última campaña sea significativa es el uso de enlaces de resultados de búsqueda de Bing y el servicio de acortador de enlaces de Twitter (t[.]co), junto con Google, en sus redirecciones, lo que indica una expansión de la huella del actor de la amenaza.

También se utilizan dominios de URL pseudoacortadas que se hacen pasar por herramientas populares de acortamiento de URL como Bitly, Cuttly o ShortURL, pero que en realidad dirigen a los visitantes a sitios de preguntas y respuestas poco fiables.

Sucuri dijo que las redirecciones aterrizaron en sitios de preguntas y respuestas que discuten blockchain y criptomoneda, con los dominios URL ahora alojados en DDoS-Guard, un proveedor ruso de infraestructura de Internet que ha estado bajo el escáner por proporcionar servicios de alojamiento a prueba de balas.

No se sabe con exactitud cómo se infectan los sitios de WordPress. Pero una vez que el sitio web es violado, el actor de la amenaza inyecta código PHP de puerta trasera que permite el acceso remoto persistente, así como redirigir a los visitantes del sitio.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *