Massive AdSense Fraud Campaign Uncovered – 10,000+ WordPress Sites Infected
2023/02/14 TheHackerNews — Black Hat のリダイレクト・マルウェア・キャンペーンを操る脅威アクターは、URL 短縮ツールを模倣した 70以上の偽ドメインの規模を拡大し、10,800以上の Web サイトにマルウェアを感染させた。Sucuri の研究者である Ben Martin は、先週に発表したレポートの中で、「このキャンペーンは、Google 広告などの AdSense ID を含むページへの、トラフィックを人為的に増やすことを主目的とした、収益獲得のための広告詐欺だ」と述べている。このキャンペーンの詳細が、GoDaddy 傘下の Sucuri により初めて公開されたのは、2022年11月のことだ。
このキャンペーンは、2022年9月から活動していると言われており、侵害された WordPress サイトへのビジターを、偽の Q&A ポータルサイトにリダイレクトするように仕組まれている。その目的は、検索エンジンの検索結果における、スパムサイトの信頼性を高めることにあるようだ。
その当時に Sucuri は、「これらの脅威アクターは、本物の人々が異なる IP/ブラウザを使用して検索結果をクリックしていると、Google に思い込ませることができる。彼らが用いる手法は、それらのページが検索で良いパフォーマンスをしているというシグナルを、人為的に Google に送るというものだ」と指摘していた。
今回のキャンペーンで特筆すべきものは、Bing の検索結果リンクと Twitter の URL 短縮ツール (t[.]co) サービスがリダイレクトに使用されていることであり、この脅威アクターの活動範囲の拡大が示されている点だ。
また、Bitly/Cuttly/ShortURL といった人気の URL 短縮ツールを装い、怪しげな Q&A サイトにビジターを誘導する、疑似短縮 URL ドメインも使用されている。
Sucuri によると、リダイレクト先はブロックチェーンや暗号通貨について議論する Q&A サイトとのことだ。現時点において、それらの URL ドメインは、防弾ホスティング・サービスを提供しているとして問題視されている。ロシアのインターネット・インフラ・プロバイダである DDoS-Guard にホストされているようだ。
Martin は、「偽の短い URL から、偽の Q&A サイトへの不正なリダイレクトは、広告の閲覧数/クリック数を増加させ、このキャンペーンの背後にいる人物の収益を増加させることになる。これは、組織的な広告収入詐欺の、非常に大規模かつ継続的なキャンペーンの1つである」と説明している。
そもそも WordPress のサイトが、どのように感染するのか、正確には解明されていない。しかし、一旦 Web サイトが侵害されると、脅威のアクターは、サイト訪問者をリダイレクトするだけでなく、持続的なリモートアクセスを可能にするバックドア PHP コードを注入する。
Martin は、「注入されたマルウェアは、wp-blog-header.php ファイル内に格納されているため、 Web サイトが読み込まれるたびに実行され、 Web サイトを再感染させる。したがって、マルウェアの痕跡がすべて処理されるまで、その環境を感染させ続けられる」と述べている。
AdSense ID を含むページへの、トラフィックを人為的に増やす広告詐欺が、WordPress 上で大規模に展開されているようです。この種のマルウェアを仕込まれるということは、他の攻撃が生じる可能性があるので、それが怖いです。最近の WordPress インシデントに関する記事は、以下のとおりです。
2023/01/25:WordPress サイト 4,500 以上でハッキング
2023/01/13:WordPress プラグインの脆弱性と PoC
2022/01/02:WordPress サイトを標的とする Linux マルウェア
よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.