С 2018 года Sucuri отслеживает интересный тип заражения веб-сайтов, при котором тег title взломанного веб-сайта изменяется на китайский текст - изменения, которые четко видны в результатах поиска и исходном коде веб-сайта. Однако, когда вы открываете пораженный сайт в веб-браузере с поддержкой JavaScript, сайт работает в обычном режиме, и оригинальный заголовок отображается без каких-либо изменений.
Происходящее за кулисами оказывается довольно масштабной черношляпной SEO-кампанией, продвигающей китайские сайты азартных игр, спортивных ставок и мобильные приложения. Атака затрагивает в основном китайские сайты, но мы обнаружили ряд западных сайтов, также пострадавших от вредоносных инъекций. Согласно данным PublicWWW, на момент написания статьи количество зараженных сайтов превышало 50 000.
Хотя SEO-уловки, которые использует эта атака, остаются (в основном) неизменными с 2018 года, злоумышленники регулярно обновляют скрипты перенаправления и содержание спам-заголовков, чтобы привлечь больше поискового трафика и обеспечить работоспособность перенаправления.
Indicators of Compromise
IPv4
- 128.14.75.59
- 143.92.32.243
- 154.22.124.28
- 154.222.103.43
- 154.38.227.98
- 155.159.144.129
- 206.119.125.190
- 206.233.132.188
- 23.248.203.3
URLs
- http://360360365.com/360.js
- http://ag857.cc/ag.js
- http://bobsjb2022.com/bobsjb.js
- http://ceshi963ly.com/yb.js
- http://diltsportajohn.com/shell.js
- http://efhfuh.com/365.js
- http://ly66666.vip/ly/ly.js
- http://makeafortune66.com/bb.js
- http://makeafortune88.com/bb.js
- http://niubjsc20226688.com/tbsjb.js
- http://qitajs1002.com/yb.js
- http://qitasjb2022.com/yb.js
- http://sjb2.cc/bob.js
- http://sjb2022ky.com/yb.js
- http://sjb4.cc/bob.js
- http://sjbs.cc/bob.js
- http://tbty20000.com/tb.js
- http://telegeramguanwangfangwangzhan20220924.com/telegeram/telegeram.js
- http://tongji.68010.com/4/tzm.js
- http://tongji.68010.com/5/tzm.js
- http://ttdbty.cc/bob.js
- http://ybjs0726.com/yb.js
- http://yigexiaomubiao2022.com/bb.js