SEO Black Hat

Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.

Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.

Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi. Atau dengan file ‘ads.txt’

Menargetkan situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti ‘wp-singup.php’, ‘wp-cron.php’, ‘wp-settings.php’, ‘wp-mail.php’, dan ‘wp-blog -header.php’, untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.

Kode berbahaya di salah satu file yang terinfeksi (Sucuri)

File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.

Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.

Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan otentikasi dua faktor (2FA) di akun admin.

sumber : bleeping computer

Malware yang mencuri kata sandi, kartu kredit, dan dompet kripto Anda dipromosikan melalui hasil pencarian untuk salinan bajakan program pengoptimalan CCleaner Pro Windows.

Kampanye distribusi malware baru ini dijuluki “FakeCrack,” dan ditemukan oleh analis di Avast, yang melaporkan mendeteksi rata-rata 10.000 upaya infeksi setiap hari dari data telemetri pelanggannya. Sebagian besar korban ini berbasis di Prancis, Brasil, Indonesia, dan India.

Malware yang didistribusikan dalam kampanye ini adalah pencuri informasi yang kuat yang dapat memanen data pribadi dan aset cryptocurrency dan mengarahkan lalu lintas internet melalui proxy penyadap data.

Pelaku ancaman mengikuti teknik Black Hat SEO untuk memberi peringkat situs web distribusi malware mereka tinggi di hasil Google Penelusuran sehingga lebih banyak orang akan tertipu untuk mengunduh executable yang dicampur.

Daya tarik yang dilihat oleh Avast adalah CCleaner Professional versi crack, pembersih sistem Windows populer dan pengoptimal kinerja yang masih dianggap sebagai utilitas “harus dimiliki” oleh banyak pengguna.

Hasil Google Penelusuran yang mengarah ke situs berbahaya (Avast)

Hasil pencarian beracun membawa korban melalui beberapa situs web yang akhirnya menampilkan halaman arahan yang menawarkan unduhan file ZIP. Halaman arahan ini biasanya dihosting di platform hosting file yang sah seperti filesend.jp atau mediafire.com.

ZIP dilindungi kata sandi menggunakan PIN yang lemah seperti “1234”, yang hanya ada untuk melindungi muatan dari deteksi anti-virus.

File di dalam arsip biasanya bernama “setup.exe” atau “cracksetup.exe,” tetapi Avast telah melihat delapan executable berbeda yang digunakan dalam kampanye ini.

Korban malware ditipu untuk menginstal upaya untuk mencuri informasi yang disimpan di browser web, seperti kata sandi akun, kartu kredit yang disimpan, dan kredensial dompet cryptocurrency.

Selain itu, ia memantau clipboard untuk alamat dompet yang disalin dan menggantinya dengan yang berada di bawah kendali operator malware untuk mengalihkan pembayaran. Fitur pembajakan clipboard ini bekerja dengan berbagai alamat cryptocurrency, termasuk alamat Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, dan Bitcoin Cash.

Malware ini juga menggunakan proxy untuk mencuri kredensial akun pasar cryptocurrency menggunakan serangan man-in-the-middle yang sangat sulit dideteksi atau disadari oleh korban.

Mekanisme proxy ini ditambahkan melalui kunci registri baru di “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”.

Korban dapat menonaktifkannya dengan menavigasi ke Jaringan & internet di Pengaturan Windows dan mengalihkan opsi “Gunakan server proxy” ke Mati.

Kampanye ini sudah tersebar luas, dan tingkat infeksinya tinggi, jadi hindari mengunduh perangkat lunak yang retak dari mana saja, bahkan jika situs unduhan memiliki peringkat tinggi di Google Penelusuran.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

15.000 situs diretas untuk kampanye peracunan besar-besaran Google SEO

Hasil pencarian CCleaner beracun menyebarkan malware pencuri informasi

SEO Black Hat

Cookies Settings