15.000 Situsweb Disusupi, Hacker Sebarkan lewat Serangan Google SEO
Ilustrasi Bleeping Computer
Cyberthreat.id – Peretas melakukan kampanye pengoptimalan mesin pencari (SEO) black hat besar-besaran dengan mengorbankan hampir 15.000 situs web untuk mengarahkan pengunjung ke forum diskusi Tanya Jawab palsu.
Black hat SEO atau juga dikenal dengan spamdexing adalah praktik search engine optimization atau optimasi mesin pencari yang digunakan untuk meningkatkan ranking sebuah situs di mesin pencari.
Namun, cara yang digunakan dalam metode SEO ini merupakan cara yang melanggar terms of service atau kebijakan layanan yang ada. Jadi, hal-hal yang dilakukan dalam praktik black hat SEO dapat dibilang merupakan pelanggaran.
Melansir Bleeping Computer, Serangan pertama kali ditemukan oleh Sucuri, yang mengatakan bahwa setiap situs yang disusupi berisi sekitar 20.000 file yang digunakan sebagai bagian dari kampanye spam mesin pencari, dengan sebagian besar situs adalah WordPress.
Para peneliti percaya bahwa tujuan pelaku ancaman adalah untuk menghasilkan halaman yang cukup diindeks untuk meningkatkan otoritas situs Q&A palsu dan dengan demikian peringkat lebih baik di mesin pencari.
Kampanye tersebut kemungkinan akan menjadikan situs-situs tersebut untuk digunakan di masa mendatang sebagai situs penetes malware atau situs phishing, karena bahkan operasi jangka pendek di halaman pertama Google Penelusuran, akan mengakibatkan banyak infeksi.
Skenario alternatif, berdasarkan keberadaan file 'ads.txt' di situs pendaratan, adalah bahwa pemiliknya ingin mengarahkan lebih banyak lalu lintas untuk melakukan penipuan iklan.
Targetkan Situs WordPress
Sucuri melaporkan bahwa peretas sedang memodifikasi file WordPress PHP, seperti 'wp-singup.php', 'wp-cron.php', 'wp-settings.php', 'wp-mail.php', dan 'wp-blog -header.php', untuk menyuntikkan pengalihan ke forum diskusi Tanya Jawab palsu.
Dalam beberapa kasus, penyerang menjatuhkan file PHP mereka sendiri di situs yang ditargetkan, menggunakan nama file acak atau semu seperti 'wp-logln.php'.
File yang terinfeksi atau disuntikkan berisi kode berbahaya yang memeriksa apakah pengunjung situs web masuk ke WordPress, dan jika tidak, mengarahkan mereka ke URL https://ois.is/images/logo-6.png.
Namun, browser tidak akan dikirimi gambar dari URL ini, melainkan akan memuat JavaScript yang mengarahkan pengguna ke URL klik penelusuran Google yang mengarahkan pengguna ke situs Tanya Jawab yang dipromosikan.
Menggunakan URL klik pencarian Google kemungkinan akan meningkatkan metrik kinerja pada URL di Indeks Google untuk membuatnya tampak seolah-olah situs tersebut populer, dengan harapan dapat meningkatkan peringkat mereka dalam hasil pencarian.
Selanjutnya, mengarahkan ulang melalui URL klik pencarian Google membuat lalu lintas terlihat lebih sah, mungkin melewati beberapa perangkat lunak keamanan.
Pengecualian pengguna yang masuk, serta mereka yang berdiri di 'wp-login.php,' bertujuan untuk menghindari pengalihan administrator situs, yang akan menimbulkan kecurigaan dan pembersihan situs yang disusupi.
File gambar PNG menggunakan fungsi 'window.location.href' untuk menghasilkan hasil pengalihan Google Penelusuran ke salah satu domain target berikut:
- en.w4ksa[.]com
- peace.yomeat[.]com
- qa.bb7r[.]com
- en.ajeel[.]store
- qa.istisharaat[.]com
- en.photolovegirl[.]com
- en.poxnel[.]com
- qa.tadalafilhot[.]com
- questions.rawafedpor[.]com
- qa.elbwaba[.]com
- questions.firstgooal[.]com
- qa.cr-halal[.]com
- qa.aly2um[.]com
Pelaku ancaman menggunakan beberapa subdomain untuk hal di atas, jadi daftar lengkap domain arahan terlalu panjang untuk disertakan di sini (1.137 entri). Mereka yang tertarik untuk meninjau daftar lengkap dapat menemukannya di sini.
Sebagian besar situs web ini menyembunyikan server mereka di balik Cloudflare, sehingga analis Sucuri tidak dapat mempelajari lebih lanjut tentang operator kampanye.
Karena semua situs menggunakan templat pembuatan situs web yang serupa, dan semuanya tampaknya dibuat oleh alat otomatis, kemungkinan besar mereka semua termasuk dalam pelaku ancaman yang sama.
Sucuri tidak dapat mengidentifikasi bagaimana pelaku ancaman melanggar situs web yang digunakan untuk pengalihan. Namun, kemungkinan itu terjadi dengan mengeksploitasi plugin yang rentan atau memaksa kata sandi admin WordPress.
Oleh karena itu, rekomendasinya adalah untuk meningkatkan semua plugin WordPress dan CMS situs web ke versi terbaru dan mengaktifkan autentikasi dua faktor (2FA) di akun admin.
