Якщо ви коли-небудь були перенаправлені на дивний вебсайт запитань та відповідей, який просуває криптовалюту або інші технології блокчейну, це може бути частиною шахрайства з накруткою переглядів реклами. З осені минулого року до подібних шахрайських схем були залучені тисячі заражених сайтів.
Дослідники безпеки з Sucuri витратили останні кілька місяців на відстеження шкідливих програм, які перенаправляють користувачів на шахрайські сторінки, щоб збільшити кількість показів реклами Google Ads. Понад 10 000 перевірених сайтів виявилися зараженими, внаслідок чого вони перенаправляли відвідувачів на інші сторінки.
На підозрілих сторінках часто є форми запитань та відповідей, у яких згадується біткоїн чи інші теми, пов’язані з блокчейном. Досвідчені користувачі можуть припустити, що ці сайти намагаються продавати криптовалюти за схемою накачування та скидання – але в Sucuri припускають, що весь текст є просто наповнювачем, що приховує реальне джерело доходів.
Багато із залучених URL-адрес в адресному рядку браузера мають такий вигляд, ніби користувач клацнув на результат пошуку Google, що ведуть до розглянутих сайтів. Цей виверт є спробою замаскувати перенаправлення під переходи з результатів пошуку, потенційно збільшуючи кількість показів у пошуку для отримання прибутку від реклами. Однак неясно, чи працює цей трюк, тому що Google не реєструє переходи у результатах пошуку, які відповідають замаскованим редиректам.
Sucuri вперше помітив шкідливе програмне забезпечення у вересні, але кампанія активізувалася після першого звіту групи безпеки в листопаді. Тільки у 2023 році дослідники відстежили понад 2600 заражених сайтів, які перенаправляють відвідувачів на більш ніж 70 нових шахрайських доменів.
Шахраї спочатку приховували свої справжні IP-адреси за допомогою CloudFlare, але після листопадової історії їх сервіс завантажив. З того часу вони перейшли на російський сервіс DDoS-Guard.
Кампанія в основному націлена на сайти WordPress, використовуючи наявні вразливості рушія. Більш того, шкідливий код може ховатися шляхом обфускації – маскування та навмисного заплутування коду задля ускладнення його аналізу (щось подібне іноді роблять депутати у законопроєктах). Код також можна тимчасово деактивувати під час входу адміністратора до системи. Протидію загрозі може надати двофакторна автентифікація та підтримання актуальності версії рушія.
Також останнім часом зловмисники підробляли сайти популярних програм, розміщуючи їхню рекламу в Google для поширення шкідливого ПЗ. Для завантаження інсталяційних файлів поширеного програмного забезпечення слід уникати рекламних посилань у верхній частині результатів пошуку Google.
Джерело: TechSpot