Mais de 10 mil sites WordPress infectados em campanha de fraude do Google AdSense

WordPress 6.4.1: Uma Atualização Importante

Cibercriminosos infectam mais de 10 mil sites WordPress em uma campanha de fraude do Google AdSense. Eles usaram mais de 70 domínios falsos que imitam encurtadores de URL e infectaram todos esses sites.

De acordo com Ben Martin, pesquisador da Sucuri, em um relatório publicado na semana passada, o principal objetivo da gangue era a fraude de anúncios, aumentando artificialmente o tráfego para páginas que contêm o ID do AdSense, que contém anúncios do Google para geração de receita.

Sites WordPress infectados em campanha de fraude do Google AdSense

Os detalhes da atividade maliciosa usando os sites WordPress foram expostos pela primeira vez pela empresa de propriedade da GoDaddy em novembro de 2022. Essa campanha, que estaria ativa desde setembro do ano passado, é orquestrada para redirecionar os visitantes a sites WordPress comprometidos para falsos portais de perguntas e respostas.

O objetivo da campanha orquestrada pelos cibercriminosos, ao que parece, é aumentar a autoridade de sites com spam nos resultados dos mecanismos de busca, levando vítimas a cairem em seus golpes. O que torna a campanha mais recente significativa é o uso de links de resultados de pesquisa do Bing e do serviço de encurtador de links do Twitter, junto com o Google, em seus redirecionamentos, indicando uma expansão da pegada do agente da ameaça.

mais-de-10-mil-sites-wordpress-infectados-em-campanha-de-fraude-do-google-adsense
Imagem: Reprodução | The Hacker News

Além disso, também são usados ??domínios de URL pseudocurtos que se disfarçam de ferramentas populares de encurtamento de URL que acabam direcionando os visitantes para sites de perguntas e respostas incompletos. A Sucuri disse que os redirecionamentos chegaram a sites de perguntas e respostas que discutem blockchain e criptomoeda, com os domínios de URL agora hospedados no DDoS-Guard, um provedor de infraestrutura de internet russo.

Uso de domínios curtos nos golpes

De acordo com Martin,

Redirecionamentos indesejados por meio de URL curta falsa para sites falsos de perguntas e respostas resultam em exibições/cliques de anúncios inflados e, portanto, receita inflada para quem está por trás dessa campanha.

É uma campanha muito grande e contínua de fraude de receita de publicidade organizada.

Não se sabe exatamente como os sites WordPress são infectados. Mas uma vez que o site é violado, o agente da ameaça injeta código PHP backdoor que permite acesso remoto persistente, bem como redirecionar os visitantes do site. De acordo com Martin, como a injeção de malware adicional está alojada no arquivo wp-blog-header.php, ela será executada sempre que o site for carregado e reinfectado o site. Segundo ele, isso garante que o ambiente permaneça infectado até que todos os vestígios do malware sejam eliminados.