Uma nova gangue do crime cibernético foi vista tomando conta de sites WordPress vulneráveis para instalar lojas de comércio eletrônico ocultas com o objetivo de sequestrar a classificação e a reputação do mecanismo de busca do site original e promover fraudes on-line. E como um malware cria lojas on-line fraudulentas?
Os invasores aproveitaram ataques de força bruta para obter acesso à conta de administrador do site. Então, eles sobrescreveram o arquivo de índice principal do site WordPress e acrescentaram o código malicioso. Cashdollar disse que a principal função do malware era atuar como um proxy e redirecionar todo o tráfego de entrada para um servidor de comando e controle remoto (C&C) gerenciado pelos hackers. Foi neste servidor que ocorreu toda a “lógica de negócios” dos ataques.
De acordo com Cashdollar, um ataque típico seria o seguinte:
- O usuário visita um site WordPress hackeado.
- O site WordPress hackeado redireciona a solicitação do usuário para visualizar o site para o servidor C&C do malware.
- Se um usuário atender a certos critérios, o servidor C&C instrui o site a responder com um arquivo HTML contendo uma loja online que vende uma ampla variedade de objetos mundanos.
- O site invadido responde à solicitação do usuário com uma loja online fraudulenta, em vez do site original que o usuário queria ver.
Cashdollar disse que durante o tempo em que os hackers tiveram acesso ao seu honeypot, os invasores hospedaram mais de 7.000 lojas de e-commerce que pretendiam servir aos visitantes que chegavam.
Invasores envenenaram mapa do site XML
Além disso, os pesquisadores da Akamai disseram que os hackers também geraram sitemaps em XML para os sites WordPress hackeados. Eles continham entradas para as falsas lojas on-line junto com as páginas autênticas do site.
Os invasores geraram os sitemaps, enviaram-nos ao mecanismo de busca do Google e, em seguida, excluíram o sitemap para evitar a detecção.
Embora esse procedimento pareça bastante inofensivo, ele na verdade teve um impacto muito grande no site WordPress. Isso porque acabou envenenando suas palavras-chave com entradas não relacionadas e fraudulentas. Então, baixaram a classificação da página de resultados do mecanismo de pesquisa (SERP) do site.
Black Fraude: Malware cria lojas on-line fraudulentas sobre sites WordPress hackeados
Cashdollar agora acredita que esse tipo de malware pode servir para esquemas de extorsão de SEO. Assim, grupos criminosos envenenam intencionalmente a classificação SERP de um site. Em seguida, pedem um resgate para reverter os efeitos.
“Isso os torna um ataque de baixa barreira para os criminosos realizarem, já que eles só precisam de alguns hosts comprometidos para começar”, disse Cashdollar. “Dado que existem centenas de milhares de instalações WordPress abandonadas on-line, e milhões mais com plug-ins desatualizados ou credenciais fracas, o pool de vítimas em potencial é enorme.”