С сентября 2022 года исследовательская группа Sucuri отследила всплеск вредоносных программ WordPress, перенаправляющих посетителей сайтов на поддельные сайты вопросов и ответов через ois.is. Эти вредоносные перенаправления, по-видимому, предназначены для повышения авторитетности сайтов злоумышленников для поисковых систем.
Вредоносные SEO-перенаправления можно описать как вредоносное ПО, предназначенное для захвата веб-сайта с целью злоупотребления его ресурсами (особенно трафиком и рейтингом). Злоумышленники часто встречаются с рекламой спама для фармацевтических компаний, услуг по написанию эссе, поддельных дизайнерских товаров или поддельных сайтов вопросов и ответов.
Некоторые вредоносные программы для веб-сайтов ограничиваются небольшим количеством файлов, часто для того, чтобы ограничить свой след и избежать обнаружения. Эта вредоносная программа действует наоборот - в среднем на один сайт заражается более 100 файлов. Чаще всего поражаются основные файлы WordPress, однако обнаружено, что эта вредоносная программа также заражает вредоносные файлы .php, созданные другими, не связанными с ней кампаниями. Поскольку вредоносная программа вплетается в основные операции WordPress, перенаправление может выполняться в браузерах всех, кто посещает сайт.
Indicators of Compromise
Domains
- en.ajeel.store
- en.photolovegirl.com
- en.w4ksa.com
- ois.is
- peace.yomeat.com
- qa.aly2um.com
- qa.bb7r.com
- qa.cr-halal.com
- qa.elbwaba.com
- qa.istisharaat.com
- qa.tadalafilhot.com
- questions.firstgooal.com
- questions.rawafedpor.com
URLs
- https://ois.is/images/logo.png
- https://ois.is/images/logo-1.png
- https://ois.is/images/logo-2.png
- https://ois.is/images/logo-3.png
- https://ois.is/images/logo-4.png
- https://ois.is/images/logo-5.png
- https://ois.is/images/logo-6.png
- https://ois.is/images/logo-7.png
- https://ois.is/images/logo-8.png
- https://ois.is/rr/page-1.php