হ্যাকাররা জাল প্রশ্নোত্তর আলোচনা ফোরামে দর্শকদের পুনঃনির্দেশিত করার জন্য প্রায় 15,000 ওয়েবসাইটগুলির সাথে আপস করে একটি বিশাল ব্ল্যাক হ্যাট সার্চ ইঞ্জিন অপ্টিমাইজেশান (SEO) প্রচারাভিযান পরিচালনা করছে৷
আক্রমণগুলি প্রথমে সুকুরির দ্বারা দেখা যায়, যিনি বলেছেন যে প্রতিটি আপস করা সাইটে প্রায় 20,000টি ফাইল রয়েছে যা সার্চ ইঞ্জিন স্প্যাম প্রচারের অংশ হিসাবে ব্যবহৃত হয়, যার বেশিরভাগ সাইট ওয়ার্ডপ্রেস।
গবেষকরা বিশ্বাস করেন যে হুমকি অভিনেতাদের লক্ষ্য হল পর্যাপ্ত সূচীযুক্ত পৃষ্ঠা তৈরি করা যাতে জাল প্রশ্নোত্তর সাইটগুলির কর্তৃত্ব বাড়ানো যায় এবং এইভাবে সার্চ ইঞ্জিনগুলিতে আরও ভাল স্থান পায়৷
প্রচারাভিযান সম্ভবত ম্যালওয়্যার ড্রপার বা ফিশিং সাইট হিসাবে ভবিষ্যতে ব্যবহারের জন্য এই সাইটগুলিকে প্রাইম করবে, এমনকি Google অনুসন্ধানের প্রথম পৃষ্ঠায় একটি স্বল্পমেয়াদী অপারেশনের ফলে অনেক সংক্রমণ হবে৷
ল্যান্ডিং সাইটগুলিতে একটি 'ads.txt' ফাইলের অস্তিত্বের উপর ভিত্তি করে একটি বিকল্প পরিস্থিতি হল যে তাদের মালিকরা বিজ্ঞাপন জালিয়াতি পরিচালনা করতে আরও বেশি ট্রাফিক চালাতে চান৷
ওয়ার্ডপ্রেস সাইট টার্গেটিং
সুকুরি রিপোর্ট করেছে যে হ্যাকাররা ওয়ার্ডপ্রেস পিএইচপি ফাইলগুলি পরিবর্তন করছে, যেমন 'wp-singup.php', 'wp-cron.php', 'wp-settings.php', 'wp-mail.php', এবং 'wp-blog' -header.php', নকল প্রশ্নোত্তর আলোচনা ফোরামে পুনঃনির্দেশ ইনজেক্ট করতে।
কিছু ক্ষেত্রে, আক্রমণকারীরা 'wp-logln.php'-এর মতো এলোমেলো বা ছদ্ম-বৈধ ফাইলের নাম ব্যবহার করে লক্ষ্যযুক্ত সাইটে তাদের নিজস্ব পিএইচপি ফাইল ফেলে দেয়।
সংক্রামিত বা ইনজেকশন করা ফাইলগুলিতে ক্ষতিকারক কোড থাকে যা ওয়েবসাইট ভিজিটররা ওয়ার্ডপ্রেসে লগ ইন করেছে কিনা তা পরীক্ষা করে এবং যদি তারা না করে তবে তাদের https://ois.is/images/logo-6.png URL-এ পুনঃনির্দেশ করে৷
যাইহোক, ব্রাউজারগুলিকে এই URL থেকে একটি ছবি পাঠানো হবে না বরং এর পরিবর্তে JavaScript লোড করা হবে যা ব্যবহারকারীদের Google অনুসন্ধান ক্লিক URL-এ পুনঃনির্দেশ করে যা ব্যবহারকারীদের প্রচারিত প্রশ্নোত্তর সাইটে পুনঃনির্দেশ করে৷
নকল Google অনুসন্ধান ইভেন্ট তৈরি করার কোড
জাল Google অনুসন্ধান ইভেন্ট (Sucuri) তৈরি করার কোড
একটি Google সার্চ ক্লিক URL ব্যবহার করলে Google ইনডেক্সের URL-এ পারফরম্যান্স মেট্রিক্স বাড়ানোর সম্ভাবনা থাকে যাতে সাইটগুলি জনপ্রিয়, সার্চ ফলাফলে তাদের র্যাঙ্কিং বাড়ানোর আশায় দেখা যায়।
উপরন্তু, Google সার্চ ক্লিক URL-এর মাধ্যমে রিডাইরেক্ট করা ট্রাফিককে আরও বৈধ দেখায়, সম্ভবত কিছু নিরাপত্তা সফ্টওয়্যারকে বাইপাস করে।
লগ-ইন করা ব্যবহারকারীদের বাদ দেওয়া, সেইসাথে যারা 'wp-login.php'-এ দাঁড়িয়ে আছে, তাদের উদ্দেশ্য হল সাইটের একজন প্রশাসককে পুনঃনির্দেশ করা এড়াতে, যার ফলে সন্দেহ বাড়বে এবং আপোষকৃত সাইট পরিষ্কার করা হবে।
পিএনজি ইমেজ ফাইলটি 'window.location.href' ফাংশন ব্যবহার করে নিম্নলিখিত টার্গেটেড ডোমেনগুলির মধ্যে একটিতে Google অনুসন্ধানের পুনঃনির্দেশ ফলাফল তৈরি করে:
en.w4ksa[.]com
peace.yomeat[.]com
qa.bb7r[.]com
en.ajeel [.] দোকান
qa.istisharaat[.]com
en.photolovegirl[.]com
en.poxnel[.]com
qa.tadalafilhot[.]com
Questions.rawafedpor[.]com
qa.elbwaba[.]com
Questions.firstgooal[.]com
qa.cr-হালাল[.]com
qa.aly2um[.]com
হুমকি অভিনেতারা উপরের জন্য একাধিক সাবডোমেন ব্যবহার করে, তাই ল্যান্ডিং ডোমেনের সম্পূর্ণ তালিকা এখানে অন্তর্ভুক্ত করার জন্য খুব দীর্ঘ (1,137 এন্ট্রি)। যারা সম্পূর্ণ তালিকা পর্যালোচনা করতে আগ্রহী তারা এটি এখানে খুঁজে পেতে পারেন।
এই ওয়েবসাইটগুলির বেশিরভাগই ক্লাউডফ্লেয়ারের পিছনে তাদের সার্ভারগুলি লুকিয়ে রাখে, তাই সুকুরির বিশ্লেষকরা প্রচারণার অপারেটরদের সম্পর্কে আরও জানতে পারেননি।
যেহেতু সমস্ত সাইট একই রকম ওয়েবসাইট-বিল্ডিং টেমপ্লেট ব্যবহার করে, এবং সমস্তগুলি স্বয়ংক্রিয় সরঞ্জাম দ্বারা তৈরি করা হয়েছে বলে মনে হয়, সম্ভবত তারা সব একই হুমকি অভিনেতাদের অন্তর্গত।
সুকুরি সনাক্ত করতে পারেনি কিভাবে হুমকি অভিনেতারা পুনঃনির্দেশের জন্য ব্যবহৃত ওয়েবসাইটগুলি লঙ্ঘন করেছে৷ যাইহোক, এটি সম্ভবত একটি দুর্বল প্লাগইন ব্যবহার করে বা ওয়ার্ডপ্রেস অ্যাডমিন পাসওয়ার্ডকে জবরদস্তি করে।
অতএব, সুপারিশ হল সমস্ত ওয়ার্ডপ্রেস প্লাগইন এবং ওয়েবসাইট সিএমএসকে সর্বশেষ সংস্করণে আপগ্রেড করা এবং অ্যাডমিন অ্যাকাউন্টগুলিতে দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) সক্রিয় করা।