Китайский игорный спам нацелен на ключевые слова чемпионата мира по футболу

security IOC

С 2018 года Sucuri отслеживает интересный тип заражения веб-сайтов, при котором тег title взломанного веб-сайта изменяется на китайский текст - изменения, которые четко видны в результатах поиска и исходном коде веб-сайта. Однако, когда вы открываете пораженный сайт в веб-браузере с поддержкой JavaScript, сайт работает в обычном режиме, и оригинальный заголовок отображается без каких-либо изменений.


Происходящее за кулисами оказывается довольно масштабной черношляпной SEO-кампанией, продвигающей китайские сайты азартных игр, спортивных ставок и мобильные приложения. Атака затрагивает в основном китайские сайты, но мы обнаружили ряд западных сайтов, также пострадавших от вредоносных инъекций. Согласно данным PublicWWW, на момент написания статьи количество зараженных сайтов превышало 50 000.

Хотя SEO-уловки, которые использует эта атака, остаются (в основном) неизменными с 2018 года, злоумышленники регулярно обновляют скрипты перенаправления и содержание спам-заголовков, чтобы привлечь больше поискового трафика и обеспечить работоспособность перенаправления.

Indicators of Compromise

IPv4

  • 128.14.75.59
  • 143.92.32.243
  • 154.22.124.28
  • 154.222.103.43
  • 154.38.227.98
  • 155.159.144.129
  • 206.119.125.190
  • 206.233.132.188
  • 23.248.203.3

URLs

  • http://360360365.com/360.js
  • http://ag857.cc/ag.js
  • http://bobsjb2022.com/bobsjb.js
  • http://ceshi963ly.com/yb.js
  • http://diltsportajohn.com/shell.js
  • http://efhfuh.com/365.js
  • http://ly66666.vip/ly/ly.js
  • http://makeafortune66.com/bb.js
  • http://makeafortune88.com/bb.js
  • http://niubjsc20226688.com/tbsjb.js
  • http://qitajs1002.com/yb.js
  • http://qitasjb2022.com/yb.js
  • http://sjb2.cc/bob.js
  • http://sjb2022ky.com/yb.js
  • http://sjb4.cc/bob.js
  • http://sjbs.cc/bob.js
  • http://tbty20000.com/tb.js
  • http://telegeramguanwangfangwangzhan20220924.com/telegeram/telegeram.js
  • http://tongji.68010.com/4/tzm.js
  • http://tongji.68010.com/5/tzm.js
  • http://ttdbty.cc/bob.js
  • http://ybjs0726.com/yb.js
  • http://yigexiaomubiao2022.com/bb.js
SEC-1275-1
Добавить комментарий