Más de 14.000 usuarios de WordPress han visto sus sistemas infectados con un malware que publica anuncios fraudulentos en sus sitios web, redirigiendo a las víctimas a páginas falsas de preguntas y respuestas.

Los ciberdelincuentes detrás de esta campaña de malware han utilizado más de 70 dominios falsos que simulan ser acortadores de URL e infectar de esta forma más de 14.000 sitios web.

Según un informe publicado por Sucuri, el objetivo principal de esta campaña es el fraude publicitario al aumentar artificialmente el tráfico a las páginas que contienen la identificación de AdSense con anuncios de Google para generar ingresos.

Además, también apunta que esta campaña, activa desde septiembre del pasado año, está orquestada para redirigir a los visitantes de los sitios de WordPress afectados a otras páginas maliciosas de preguntas y respuestas.

Con ello se buscaría aumentar la autoridad de los sitios de spam en los resultados de los motores de búsqueda.

No en vano, las víctimas son redirigidas a sitios que contienen grandes cantidades de archivos infectados. Sucuri ha detectado 20.000 archivos infectados en 2.500 sitios solo durante septiembre y octubre.

Incógnita sobre la infección en WordPress

Según Sucuri, es posible que los ciberdelincuentes estén tratando de convencer a Google de que personas reales desde distintas IP con diferentes navegadores, están haciendo clic en sus resultados de búsquedas.

Otro aspecto clave en esta campaña es el uso de los enlaces de los resultados de búsqueda de Bing y del servicio de acortador de enlaces de Twitter, junto con Google, en sus redireccionamientos.

Asimismo, también se utilizan dominios de URL que se hacen pasar por herramientas conocidas de acortamiento de url’s como Bitly, Cuttly o ShortURL, pero que, en realidad, redirigen a los visitantes a sitios de preguntas y respuestas.

Sucuri apunta que los redireccionamientos aterrizan en sitios de preguntas y respuestas, como Quora o Ask Jeeves, en los que se debate sobre blockchain y criptomonedas. Estos dominios URL están alojados en DDoS-Guard, un proveedor de infraestructura de Internet ruso.

De acuerdo con la firma, «los redireccionamientos no deseados a través de URL cortas falsas a sitios de preguntas y respuestas falsos dan como resultado vistas/clics de anuncios inflados y, por lo tanto, ingresos inflados para quien esté detrás de esta campaña».

Si bien no se sabe con precisión cómo se infectan los sitios de WordPress. No obstante, una vez que se viola el sitio web, el actor de amenazas inyecta un código PHP de puerta trasera que permite el acceso remoto persistente, así como redirigir a los visitantes del sitio.

Dado que la inyección de malware se encuentra dentro del archivo wp-blog-header.php, se ejecutará cada vez que se cargue el sitio web y lo reinfectará. Esto garantiza que el entorno permanezca infectado hasta que se eliminen todos los rastros del malware.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre