Pelaku ancaman di balik kampanye malware pengalihan black hat telah meningkatkan kampanye mereka untuk menggunakan lebih dari 70 domain palsu yang meniru shorter URL dan menginfeksi lebih dari 10.800 situs web.
Menurut peneliti Sucuri Ben Martin, tujuan utamanya berupa penipuan iklan dengan meningkatkan lalu lintas secara artifisial ke halaman yang berisi ID AdSense yang berisi iklan Google untuk menghasilkan pendapatan.
Detail aktivitas jahat tersebut pertama kali diungkapkan oleh perusahaan milik GoDaddy pada November 2022.
Kampanye diatur untuk mengarahkan pengunjung ke situs WordPress yang disusupi ke portal Q&A palsu. Tampaknya ini bertujuan untuk meningkatkan otoritas situs berisi spam dalam hasil mesin telusur.
Penggunaan tautan hasil pencarian Bing dan layanan pemendek tautan (t[.]co) Twitter, bersama dengan Google, dalam pengalihan mereka yang menunjukkan perluasan jejak pelaku ancaman membuat kampanye terbaru ini signifikan.
Juga digunakan adalah domain URL pseudo-pendek yang menyamar sebagai alat pemendekan URL populer seperti Bitly, Cuttly, atau ShortURL tetapi pada kenyataannya mengarahkan pengunjung ke situs Q&A yang samar.
Menurut Martin, pengalihan yang tidak diinginkan melalui URL pendek palsu ke situs Q&A palsu mengakibatkan peningkatan tampilan/klik iklan dan karenanya meningkatkan pendapatan bagi siapa pun yang berada di balik kampanye ini. Ini adalah salah satu kampanye penipuan pendapatan iklan terorganisir yang sangat besar dan berkelanjutan.
Belum diketahui persis bagaimana situs WordPress terinfeksi. Tapi begitu situs web dilanggar, aktor ancaman menyuntikkan kode PHP backdoor yang memungkinkan akses jarak jauh yang terus-menerus serta mengarahkan pengunjung situs.
Selengkapnya: The Hacker News
