~11.000 situs telah terinfeksi malware yang pandai menghindari deteksi
Hampir 11.000 situs internet dalam beberapa bulan terakhir telah terinfeksi dengan backdoor yang mengarahkan pengunjung ke situs yang menampilkan iklan palsu yang disediakan oleh Google Adsense, kata para peneliti.
Semua 10.890 situs yang terinfeksi, ditemukan oleh firma keamanan Sucuri, menjalankan sistem manajemen konten WordPress dan memiliki skrip PHP yang disamarkan yang telah disuntikkan ke dalam file sah yang menjalankan situs internet. File tersebut termasuk “index.php”, “wp-signup.php”, “wp-activate.php”, “wp-cron.php”, dan banyak lagi. Beberapa situs yang terinfeksi juga menyuntikkan kode yang disamarkan ke wp-blog-header.php dan file lainnya. Kode tambahan yang disuntikkan berfungsi sebagai pintu belakang yang dirancang untuk memastikan malware akan bertahan dari upaya desinfeksi dengan memuat dirinya sendiri dalam file yang berjalan setiap kali server yang ditargetkan dimulai ulang.
“Pintu belakang ini mengunduh shell tambahan dan skrip mailer Leaf PHP dari filestack area jarak jauh[.]stay dan letakkan di file dengan nama acak di direktori wp-include, wp-admin dan wp-content,” tulis peneliti Sucuri Ben Martin. “Karena injeksi malware tambahan dimasukkan ke dalam file wp-blog-header.php, itu akan dijalankan setiap kali situs internet dimuat dan menginfeksi ulang situs internet. Ini memastikan bahwa lingkungan tetap terinfeksi sampai semua jejak malware ditangani.”
Licik dan ditentukan
Malware bersusah payah untuk menyembunyikan keberadaannya dari operator. Saat pengunjung masuk sebagai administrator atau telah mengunjungi situs yang terinfeksi dalam dua atau enam jam terakhir, pengalihan akan ditangguhkan. Seperti disebutkan sebelumnya, kode berbahaya juga dikaburkan, menggunakan pengkodean Base64.
Setelah kode diubah menjadi teks biasa, tampilannya seperti ini:
Sucuri
Demikian pula, kode backdoor yang mem-backdoor situs dengan memastikannya terinfeksi ulang terlihat seperti ini ketika disamarkan:
Saat diterjemahkan, tampilannya seperti ini:
Sucuri
Infeksi situs internet massal telah berlangsung setidaknya sejak September. Dalam sebuah posting yang diterbitkan pada bulan November yang pertama kali memperingatkan orang tentang kampanye tersebut, Martin memperingatkan:
“Saat ini, kami belum menemukan perilaku berbahaya di laman landas ini. Namun, pada waktu tertentu, operator situs dapat secara sewenang-wenang menambahkan malware atau mulai mengalihkan lalu lintas ke situs internet pihak ketiga lainnya.”
Untuk saat ini, seluruh tujuan kampanye tampaknya menghasilkan lalu lintas yang tampak organik ke situs internet yang berisi iklan Google Adsense. Akun Adsense yang terlibat dalam penipuan meliputi:
| en[.]rawedpor[.]com | ca-pub-8594790428066018 |
| plus[.]cr-halal[.]com | ca-pub-3135644639015474 |
| persamaan[.]yomeat[.]com | ca-pub-4083281510971702 |
| berita[.]istisharaat[.]com | ca-pub-6439952037681188 |
| en[.]firstgooal[.]com | ca-pub-5119020707824427 |
| ust[.]aly2um[.]com | ca-pub-8128055623790566 |
| btc[.]artikel Terbaru[.]com | ca-pub-4205231472305856 |
| bertanya[.]elbwaba[.]com | ca-pub-1124263613222640 ca-pub-1440562457773158 |
Untuk membuat kunjungan menghindari deteksi dari alat keamanan jaringan dan tampak organik—artinya berasal dari orang sungguhan yang secara sukarela melihat halaman—pengalihan terjadi melalui pencarian Google dan Bing:
Sucuri
Tujuan akhir kebanyakan adalah situs Q&A yang membahas tentang Bitcoin atau cryptocurrency lainnya. Setelah browser yang dialihkan mengunjungi salah satu situs, para penjahat telah berhasil. Martin menjelaskan:
Pada dasarnya, pemilik situs internet menempatkan iklan yang disetujui Google di situs internet mereka dan mendapatkan bayaran untuk jumlah tampilan dan klik yang mereka dapatkan. Tidak masalah dari mana tampilan atau klik itu berasal, asalkan memberi kesan kepada mereka yang membayar agar iklan mereka terlihat bahwa mereka benar-benar terlihat.
Tentu saja, sifat situs internet berkualitas rendah yang terkait dengan infeksi ini pada dasarnya akan menghasilkan lalu lintas organik nol, jadi satu-satunya cara agar mereka dapat memompa lalu lintas adalah melalui cara jahat.
Dengan kata lain: Pengalihan yang tidak diinginkan melalui URL pendek palsu ke situs Q&A palsu menghasilkan peningkatan tampilan/klik iklan dan karenanya meningkatkan pendapatan bagi siapa pun yang berada di balik kampanye ini. Ini adalah salah satu kampanye penipuan pendapatan iklan terorganisir yang sangat besar dan berkelanjutan.
Menurut dokumentasi Google AdSense, perilaku ini tidak dapat diterima dan penerbit tidak boleh menempatkan iklan yang ditayangkan Google pada halaman yang melanggar kebijakan Spam untuk pencarian internet Google.
Perwakilan Google tidak menanggapi e-mail yang menanyakan apakah perusahaan memiliki rencana untuk menghapus akun Adsense yang diidentifikasi Martin atau mencari cara lain untuk menindak penipuan tersebut.
Tidak jelas bagaimana situs menjadi terinfeksi sejak awal. Secara umum, metode paling umum untuk menginfeksi situs WordPress adalah mengeksploitasi plugin rentan yang berjalan di situs. Martin mengatakan Sucuri belum mengidentifikasi plugin buggy yang berjalan di situs yang terinfeksi tetapi juga mencatat bahwa exploit equipment ada yang merampingkan kemampuan untuk menemukan berbagai kerentanan yang mungkin ada di situs.
Posting Sucuri memberikan langkah-langkah yang dapat diikuti oleh admin situs internet untuk mendeteksi dan menghapus infeksi. Pengguna akhir yang dialihkan ke salah satu situs rip-off ini harus menutup tab dan tidak mengklik konten apa pun.
