کشف کارزار کلاهبرداری سئو به‌عنوان خدمت

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این موضوع را پژوهشگران شرکت امنیت سایبری اسلواکی ایست (ESET) اعلام کردند.

این گروه که توسط ایست با نام گوست ریدیرکتور (GhostRedirector) شناسایی شده، دست‌کم از اوت ۲۰۲۴ فعال بوده و بیشتر سرورهایی در برزیل، پرو، تایلند، ویتنام و آمریکا را هدف گرفته است.

قربانیان از صنایع گوناگونی شامل بیمه، بهداشت، خرده‌فروشی، حمل‌ونقل، فناوری و آموزش بوده‌اند.

مهاجمان دو درِ پشتی (backdoor) ناشناخته با نام‌های رونگان (Rungan) و گمشن (Gamshen) را به‌کار گرفته‌اند.

رونگان امکان اجرای از راه دور دستورات را فراهم می‌کند و گمشِن برای دستکاری رتبه‌بندی‌های گوگل و تبلیغ پنهانی سایت‌های شرط‌بندی، به‌ویژه برای مخاطبان پرتغالی‌زبان، طراحی شده است.

به گفته محققان، گمشِن احتمالاً می‌کوشد تا بیشترین تعداد ممکن وب‌سایت را آلوده کرده و از اعتبار آن‌ها سوءاستفاده کند تا بازدیدکنندگان را به سایت‌های شخص ثالث هدایت کند.

آن‌ها این اقدام را نوعی کلاهبرداری سئو به‌عنوان یک خدمت توصیف کرده‌اند.

هرچند گمشِن محتوای مخرب ارائه نمی‌دهد و تجربه عادی بازدیدکنندگان را تحت تأثیر قرار نمی‌دهد، اما ایست هشدار داد که وب‌سایت‌های آلوده‌شده در معرض آسیب شدید به اعتبار خود قرار می‌گیرند، زیرا با تاکتیک‌های غیرقانونی سئو پیوند می‌خورند.

این بدافزار مستقیماً درون وب‌سرور IIS مایکروسافت جاسازی شده و به همین دلیل دسترسی عمیقی به ترافیک دارد و شناسایی آن دشوارتر است.

گوست ریدیرکتور همچنین از ابزارها و آسیب‌پذیری‌های عمومی برای ایجاد حساب‌های کاربری سطح بالا در سرورهای هدف استفاده کرده که می‌تواند برای نصب بدافزارهای بیشتر یا بازگرداندن دسترسی پس از حذف بهره‌برداری شود.

ایست با «اطمینان متوسط» ارزیابی کرده که این کمپین توسط یک گروه همسو با چین انجام شده است.

سال گذشته نیز پژوهشگران سیسکو تالوس (Cisco Talos) کارزار مشابهی موسوم به دراگون رنک (DragonRank) را شناسایی کردند که از ماژول‌های IIS برای تقلب سئو سوءاستفاده می‌کرد.

با این حال، ایست معتقد است که این دو عملیات به یکدیگر مرتبط نیستند.

پژوهشگران اظهار کردند:

این حملات احتمالاً ماهیتی فرصت‌طلبانه داشته و هدفشان بهره‌برداری از بیشترین سرورهای آسیب‌پذیر ممکن بوده است، نه تمرکز بر یک گروه خاص از سازمان‌ها.