Google 検索と 悪意の SEO:汚染されたサイト 15,000 件の大半は WordPress

15,000 sites hacked for massive Google SEO poisoning campaign

2022/11/09 BleepingComputer — 約 15,000件の Web サイトを侵害し、訪問者を偽の Q&A ディスカッション・フォーラムにリダイレクトするという、大規模なブラック・ハット SEO (Search Engine Optimization) キャンペーンが行われている。この攻撃は、Sucuri により発見された。Sucuri によると、侵害された各 Web サイトには、検索エンジン・スパム・キャンペーンの一部として使用される、約20,000 のファイルが含まれており、その大半のサイトがWordPressで構成されているとのことだ。

研究者たちは、脅威アクターの目的について、偽の Q&A サイトで権威を高めるための十分なインデックス・ページを生成し、検索エンジンでの順位を上げることにあると確信しているようだ。

Phony Q&A site promoted by this campaign (Sucuri)

このキャンペーンでは、Google 検索の1ページ目に短期間だけでも表示されると、多くの感染者が発生するため、このキャンペーンで悪用されたサイトは、将来のマルウェア配信やフィッシング展開のサイトとして使用される可能性もある。

また、ランディング・サイトに ads.txt ファイルが存在することから、このサイトのオーナーは広告詐欺を行うために、トラフィックを増やしたいと考えている可能性もある。

WordPress サイトがターゲット

Sucuri によると、このハッカーは WordPress の PHP ファイルである、wp-singup.php/wp-cron.php/wp-settings.php/wp-mail.php/wp-blog-header.php などに変更を加え、偽 Q&A 掲示板へのリダイレクトを挿入しているとのことだ。

また、この攻撃者は、wp-logln.php のような正当なファイル名を、ランダムまたは擬似的に使用して、標的のサイト上に独自の PHP ファイルをドロップすることもある。

Malicious code in one of the infected files
Malicious code in one of the infected files (Sucuri)

ここで注入されたファイルには、Web サイト訪問者が WordPress にログインしているかどうかを確認し、ログインしていない場合は、https://ois.is/images/logo-6.png URL にリダイレクトさせるという、悪意のコードが含まれている。

しかし、この URL から、ブラウザへ向けて画像が送信されることはなく、その代わりに JavaScript が読み込まれ、ユーザーをプロモーションQ&Aサイトへとリダイレクトする、Google 検索クリック URL にリダイレクトさせる。

Code to generate the fake Google Search event
Code to generate the fake Google Search event (Sucuri)

Google 検索クリック URL を使用することで、Google インデックス内の URL パフォーマンス指標を高め、あたかも人気のあるサイトであるかのように見せかけ、検索結果における順位を上げることを期待しているようだ。

さらに、Google 検索クリック URL によるリダイレクトは、トラフィックを合法的なものに見せるため、いくつかのセキュリティ・ソフトウェアをバイパスする可能性もある。

また、ログインしているユーザーや、wp-login.php にいるユーザーを除外することで、サイトの管理者をリダイレクトしないようにしている。それにより、疑惑を持たれることや、侵害したイトが一掃されることを防いでいる。

また、この攻撃に使用される悪意の PNG 画像ファイルは、window.location.href 機能を利用し、Google 検索のリダイレクト先として、以下の対象ドメインのいずれかを生成する。

  • en.w4ksa[.]com
  • peace.yomeat[.]com
  • qa.bb7r[.]com
  • en.ajeel[.]store
  • qa.istisharaat[.]com
  • en.photolovegirl[.]com
  • en.poxnel[.]com
  • qa.tadalafilhot[.]com
  • questions.rawafedpor[.]com
  • qa.elbwaba[.]com
  • questions.firstgooal[.]com
  • qa.cr-halal[.]com
  • qa.aly2um[.]com

この脅威アクターは、上記のような複数のサブドメインを使用している。また、ランディング・ドメインの完全なリスト (1,137件) は、ここに掲載するには長すぎる。完全なリストを確認したい方は、ココを参照してほしい。

これらの Web サイトの大半は、Cloudflare にサーバを隠しているため、キャンペーンの運営者の詳細については、Sucuri のアナリストも知ることができなかった。

これらのサイトの全ては、類似 Web サイト構築用テンプレートを使用し、自動化されたツールにより生成されたように見えるため、すべて同じ脅威アクターに属している可能性が高いと思われる。

Sucuri は、リダイレクトで使用された Web サイトを、驚異アクターが突破した方法を特定できなかった。しかし、脆弱なプラグインの悪用もしくは、WordPress の Admin パスワードに対するブルートフォース攻撃の可能性が高いとされる。

したがって、すべての WordPress プラグインと、この CMS 自身を最新バージョンにアップグレードし、管理者アカウントでは 2FA を有効にすることが推奨されている。

WordPress の脆弱なプラグインが狙われ続けています。最近のものだけでも、8月30日の「WordPress Plugin マーケットプレイス調査:大量の悪意のプラグインと感染経路が判明」や、9月9日の「WordPress プラグイン BackupBuddy のゼロデイが FIX:500万回もの攻撃が試行」、9月14日の「WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性」などが見つかりました。よろしければ、WordPress で検索も、ご利用ください。また、SEO 悪用に関する記事としては、9月27日の「NullMixer の新キャンペーン:ユーザーの認証情報窃取 + 各種 RAT の大量散布」がありました。

%d bloggers like this: