Investigadores de seguridad cibernética descubrieron miles de amenazas que redirigen a los usuarios a sitios fraudulentos
Campaña SEO con software malicioso
Un informe de los investigadores de seguridad cibernética Sucuri afirma que piratas informáticos están llevando a cabo una campaña masiva de Black Hat SEO que compromete a casi 15.000 sitios webs.
Según los especialistas, la campaña se observó por primera vez en septiembre de 2022, cuando el equipo detectó un aumento de software malicioso en varios sitios que funcionan con el gestor de contenido WordPress.
¿Cómo actúan los atacantes?
Los ciberdelincuentes modifican los archivos de WordPress, para inyectar redireccionamientos a foros de discusión de preguntas y respuestas falsos.
Los archivos infectados o modificados contienen un código malicioso que verifica si los visitantes del sitio web están conectados a WordPress y, si no lo están, los redirige a la URL https://ois.is/images/logo-6.png. Sin embargo, el usuario no verá una imagen, sino que al hacer clic se activa un código informático que lo redirige a un sitio promocionado.
Si bien los especialistas pudieron conocer el modo en que funciona el ataque, no fueron capaces de identificar como los atacantes lograron vulnerar la seguridad de los sitios. De todos modos, sospechan que los piratas informáticos se encargaron de investigar y detectar complementos vulnerables o forzaron la contraseña del administrador de WordPress.
Hipótesis de la campaña de Black Hat SEO
Desde Sucuri, creen que el objetivo de la campaña es generar suficientes páginas indexadas para aumentar la autoridad de los sitios y, como consecuencia, clasificarse mejor en los motores de búsqueda.
En otras palabras, es probable que esta práctica maliciosa mejore las métricas de rendimiento en el índice de Google con el objetivo de aumentar el posicionamiento en los resultados.
Además, existe la posibilidad de que tengan la intención de preparar estos sitios para llevar a cabo futuros lanzamientos de malware o sitios de pishing. Lo cual es preocupante, porque aunque duren poco tiempo en la los primeros resultados de búsqueda, daría lugar a muchas infecciones.
Un escenario alternativo, basado en la existencia de un archivo ‘ads.txt’ en los sitios de destino, es que sus propietarios desean generar más tráfico para realizar fraudes publicitarios.
En definitiva, los especialistas señalan que “Es posible que estén tratando de convencer a Google de qué personas reales de diferentes direcciones IP que usan diferentes navegadores están haciendo clic en sus resultados de búsqueda. Esta técnica envía artificialmente señales a Google de que esas páginas se están desempeñando bien en la búsqueda”.
En este sentido, la redirección a través de las URL hace que el tráfico parezca más legítimo y esto aumenta la posibilidad de vulnerar a los software de seguridad.
Características de los sitios a los que se redirecciona
La mayoría de estos sitios web ocultan sus servidores detrás de Cloudflare, por lo que los analistas de Sucuri no pudieron obtener más información sobre los operadores de la campaña.
De todos modos, como todos los sitios usan plantillas similares y parecen haber sido generados por herramientas automatizadas, es probable que pertenezcan en su totalidad a los mismos atacantes.
Además, los investigadores señalan que “Los sitios de spam de los atacantes están llenos de varias preguntas y respuestas aleatorias que se encuentran extraídas de otros sitios. Muchos de ellos tienen temas financieros y de criptomonedas”.
Para lograr esto, los ciberdelincuentes utilizan varios subdominios y se estima que se tratan aproximadamente de 1130 páginas de destino.
También te puede interesar: Detectaron un Fallo de Seguridad en el Sistema de Contraseñas de Twitter
¿Qué recomiendan los expertos?
- Actualizar todos los complementos de WordPress a la última versión y activar la verificación en dos pasos en las cuentas de administrador.
- Realizar una búsqueda en profundidad de software malicioso en el núcleo central de archivos.
- Buscar en el sistema de archivos cualquier archivo agregado o modificado recientemente.
- Asegurarse de haber eliminado todo tipo de archivo infectado para evitar una posible reinfección.
¿Qué particularidad tiene el ataque?
Esta campaña SEO maliciosa se destaca de todas las demás porque los atacantes no se esfuerzan en ocultar el malware inyectado en los sitios. De hecho, realizan exactamente lo contrario.
Por lo general, las infecciones de malware de sitios web se limitan a una pequeña cantidad de archivos, con el objetivo de ser desapercibidos. Sin embargo, en esta campaña de Black Hat SEO, cada sitio web tiene en promedio más de 100 archivos infectados. De esta manera, el ataque es único en ese sentido.
Conclusión
Hace algunos años, en muchas ocasiones los especialistas en posicionamiento web llevaban a cabo actividades de Black Hat SEO sin saberlo. Sin embargo, hoy en día y luego de varias actualizaciones del algoritmo de Google, los profesionales de la industria saben bien cuáles son las buenas prácticas de la disciplina.
De todos modos, al parecer ciertas organizaciones continúan apostando a este tipo de prácticas, a tal punto de que existen organizaciones como Sucuri que se especializan en combatir esta modalidad de hacer SEO. De hecho, más de la mitad del malware que limpió la empresa el año pasado era spam.
Si bien Google continuamente comunica que no se deben realizar este tipo de actividades, al parecer no alcanza para evitar el Black Hat SEO. Entonces, ¿No es momento de que la compañía mejore su capacidad para detectar estas prácticas maliciosas y brindar seguridad a los sitios que forman parte de su índice?
¡Déjanos tu comentario!
Fuentes utilizadas:
https://www.bleepingcomputer.com/news/security/15-000-sites-hacked-for-massive-google-seo-poisoning-campaign/#.Y2wojm6w2QM.twitter
https://www.techradar.com/news/thousands-of-websites-hijacked-for-posioned-google-seo-campaign
https://heimdalsecurity.com/blog/thousands-of-sites-hacked-in-massive-google-seo-poisoning-campaign/
https://www.infosecurity-magazine.com/news/malware-redirects-15000-sites/
https://blog.sucuri.net/2022/11/massive-ois-is-black-hat-redirect-malware-campaign.html
- Estrategias y Marketing de Contenidos para el Éxito Online - octubre 3, 2023
- Marketing Digital: 5 Habilidades Esenciales para el Emprendedor - julio 5, 2023
- Los mejores ejemplos y modelos de nota de prensa (con plantilla) - junio 5, 2023
¿Qué te pareció este artículo?
What do you think about this post?