Araştırmacılar, son aylarda yaklaşık 11.000 web sitesine, ziyaretçileri Google Adsense tarafından sağlanan reklamların sahte görünümlerini toplayan sitelere yönlendiren bir arka kapıdan etkilendiğini söyledi.
10.890 virüslü sitenin tümü, güvenlik firması Sucuri tarafından bulundu, WordPress içerik yönetim sistemini çalıştırın ve web sitelerine güç sağlayan meşru dosyalara enjekte edilmiş gizlenmiş bir PHP betiğine sahip olun. Bu tür dosyalar arasında “index.php”, “wp-signup.php”, “wp-Activate.php”, “wp-cron.php” ve daha birçok dosya bulunur. Bazı virüslü siteler ayrıca wp-blog-header.php ve diğer dosyalara gizlenmiş kod enjekte eder. Eklenen ek kod, hedeflenen sunucu yeniden başlatıldığında çalışan dosyalara kendisini yükleyerek kötü amaçlı yazılımın temizleme girişimlerinden sağ çıkmasını sağlamak için tasarlanmış bir arka kapı olarak çalışır.
“Bu arka kapılar ek mermiler indirir ve Yaprak PHP posta komut dosyası uzak etki alanı dosya yığınından[.]Sucuri araştırmacısı Ben Martin şöyle yazdı: “Ek kötü amaçlı yazılım enjeksiyonu wp-blog-header.php dosyasına yerleştirildiğinden, web sitesi her yüklendiğinde yürütülür ve web sitesine yeniden bulaşır. Bu, kötü amaçlı yazılımın tüm izleri giderilene kadar ortamın virüslü kalmasını sağlıyor.”
Sinsi ve kararlı
Kötü amaçlı yazılım, varlığını operatörlerden gizlemek için zahmete giriyor. Bir ziyaretçi yönetici olarak oturum açtığında veya son iki veya altı saat içinde virüslü bir siteyi ziyaret ettiğinde, yönlendirmeler askıya alınır. Daha önce belirtildiği gibi, kötü amaçlı kod da Base64 kodlaması kullanılarak gizlenir.
Kod düz metne dönüştürüldüğünde, şu şekilde görünür:
meyve suları
Benzer şekilde, siteye yeniden virüs bulaşmasını sağlayarak arka kapıdan içeri giren arka kapı kodu, karıştırıldığında şöyle görünür:
Kod çözüldüğünde şöyle görünür:
meyve suları
Kitlesel web sitesi enfeksiyonu en az Eylül ayından beri devam ediyor. İçinde Kasım ayında yayınlanan yazı insanları kampanyaya ilk kez uyaran Martin şu uyarıda bulundu:
“Bu noktada, bu açılış sayfalarında kötü niyetli davranışlar fark etmedik. Ancak herhangi bir zamanda site operatörleri keyfi olarak kötü amaçlı yazılım ekleyebilir veya trafiği diğer üçüncü taraf web sitelerine yönlendirmeye başlayabilir.”
Şimdilik, kampanyanın tüm amacı, Google Adsense reklamları içeren web sitelerine organik görünümlü trafik oluşturmak gibi görünüyor. Dolandırıcılıkla ilgilenen adsense hesapları şunları içerir:
| içinde[.]hamafedpo[.]iletişim | ca-pub-8594790428066018 |
| artı[.]cr-helal[.]iletişim | as-pub-3135644639015474 |
| eşdeğer[.]yomeat[.]iletişim | ca-pub-4083281510971702 |
| haberler[.]istişrat[.]iletişim | ca-pub-6439952037681188 |
| içinde[.]ilk gol[.]iletişim | ca-pub-5119020707824427 |
| ust[.]aly2um[.]iletişim | ca-pub-8128055623790566 |
| BTC[.]En son makaleler[.]iletişim | as-pub-4205231472305856 |
| sormak[.]elbwaba[.]iletişim | as-pub-1124263613222640 as-pub-1440562457773158 |
Ziyaretlerin ağ güvenlik araçları tarafından algılanmamasını sağlamak ve organik (yani sayfaları gönüllü olarak görüntüleyen gerçek kişilerden geliyor) gibi görünmek için yönlendirmeler Google ve Bing aramaları aracılığıyla gerçekleştirilir:
meyve suları
Nihai varış noktaları çoğunlukla Bitcoin veya diğer kripto para birimlerini tartışan Soru-Cevap siteleridir. Yönlendirilen bir tarayıcı sitelerden birini ziyaret ettiğinde, dolandırıcılar başarılı olmuştur. Martin’in açıklaması şöyle:
Esasen, web sitesi sahipleri, web sitelerine Google onaylı reklamlar yerleştirir ve aldıkları görüntüleme ve tıklama sayısı için ödeme alırlar. Bu görüntülemelerin veya tıklamaların nereden geldiği önemli değildir, yeter ki reklamlarının görülmesi için para ödeyenlere aslında görüldükleri izlenimi versin.
Tabii ki, bu enfeksiyonla ilişkili web sitelerinin düşük kaliteli doğası, temelde sıfır organik trafik üretecektir, bu nedenle trafiği pompalayabilmelerinin tek yolu kötü niyetli araçlardır.
Başka bir deyişle: Sahte kısa URL aracılığıyla sahte Soru-Cevap sitelerine yapılan istenmeyen yönlendirmeler, reklam görüntülemelerinin/tıklamalarının artmasına ve dolayısıyla bu kampanyanın arkasında kim varsa gelirinin artmasına neden olur. Organize reklam geliri dolandırıcılığına yönelik çok büyük ve devam eden bir kampanyadır.
Google AdSense belgelerine göre, bu davranış kabul edilemez ve yayıncılar Google tarafından sunulan reklamları, Google web araması için Spam politikalarını ihlal eden sayfalara yerleştirmemelidir.
Google temsilcileri, şirketin Martin’in belirlediği Adsense hesaplarını kaldırmayı veya dolandırıcılığı ortadan kaldırmak için başka yollar bulmayı planlayıp planlamadığını soran bir e-postaya yanıt vermedi.
İlk etapta sitelerin nasıl enfekte olduğu net değil. Genel olarak, WordPress sitelerine bulaşmanın en yaygın yöntemi, bir sitede çalışan savunmasız eklentilerden yararlanmaktır. Martin, Sucuri’nin virüslü sitelerde çalışan herhangi bir buggy eklentisi tespit etmediğini, ancak bir sitede var olabilecek çeşitli güvenlik açıklarını bulma becerisini kolaylaştıran yararlanma kitlerinin bulunduğunu da kaydetti.
Sucuri gönderileri, web sitesi yöneticilerinin enfeksiyonları tespit etmek ve kaldırmak için izleyebileceği adımları sağlar. Kendilerini bu dolandırıcılık sitelerinden birine yönlendirilmiş bulan son kullanıcılar, sekmeyi kapatmalı ve hiçbir içeriğe tıklamamalıdır.