A Sucuri, uma das corporações mais conceituadas do mundo quando se trata de identificar malware e manter páginas seguras on-line, revelou em seu relatório trimestral que as campanhas de otimização de spam de mecanismos de busca representam um volume gigante de seus controles de malware para páginas online. O banco de dados foi construído através da ferramenta de verificação de site remoto, SiteCheck, bem como clientes da empresa.
A Sucuri oferece um scanner público gratuito para verificar se uma página online foi comprometida. O SiteCheck da Sucuri pode realizar uma verificação no site relatado e também apresenta efeitos precisos. Entre os efeitos do SiteCheck, é imaginável saber se o site foi comprometido ou não e em tempo real.
Com o SiteCheck, é possível identificar:
A verificação está frouxa e já fornece um sinal inteligente sobre o que pode acontecer com qualquer site. Além disso, a empresa oferece um serviço pago, a um preço justo, que pode escanear o servidor em busca de falhas de segurança, malware ou até mesmo uma infecção por malware imaginável. Mas, depois de identificar problemas de segurança ou malware, o usuário do plano pago pode pedir à Sucuri para removê-lo.
De acordo com dados mostrados através da Sucuri, o SiteCheck realizou cerca de 23. 500 varreduras em todo o mundo. Mas no meio de todos esses controles, cerca de 260. 000 infecções foram descobertas. A empresa observou que as infecções ocorrem por uma variedade de razões. Portanto, ao mesclar dados, o sequestro de tráfego para redirecionar para sites maliciosos, injeção de palavras-chave e links de spam estão aumentando entre os números relatados.
Sobre a otimização do mecanismo de busca do SPAM, é uma prática de verificar a burocracia no site, sejam comentários ou contatos, e enviar automaticamente palavras-chave e links. , através da obtenção de problemas no site ilegalmente submetidos a grandes mecanismos de busca artificialmente.
Além do SEO SPAM, o SiteCheck também conheceu downloads pop-up, coleta de conhecimento e outras informações não públicas. Como dito, existem várias possibilidades. Então, ao menor sinal de que seu site é geral e se você não fez nenhum ajuste mais tarde, faça sua pesquisa e veja se há algo que você não está vendo agora.
O SiteCheck registrou um total de 119. 865 detecções de spam de otimização de mecanismos de busca no último trimestre, representando 46,08% de todas as infecções. Como dito em relatórios anteriores, o spam de otimização do mecanismo de busca foi a infecção mais comum observada em dados de varredura remota, seguido por malware. As infecções por spam de otimização de mecanismos de busca também são um dos tipos mais comuns de malware encontrados entre os novos clientes da Sucuri. Uma vez que essas infecções necessariamente permitem que um invasor tire vantagem dos rankings de pesquisa de um site, elas podem ser incrivelmente valiosas para hackers que precisam anunciar suas próprias páginas de spam e palavras-chave.
Muitos tipos de spam são feitos para ser visual para o Google e seu rastreador. Um analisador externo imita o hábito do Google de também detectar spam visual para rastreadores.
Quando o Google e outras agências governamentais se deparam com uma infecção por spam ou outro código destrutivo em uma página online, eles reduzem sua classificação e diminuem o tráfego biológico para essa página online até que o desafio seja resolvido. Isso pode levar a avisos de lista negra e malware do Google. Você definitivamente precisará tomar medidas para proteger seu site contra infecções de spam de otimização de mecanismos de pesquisa.
Vamos dar uma olhada em algumas das subcategorias de spam de otimização de mecanismos de pesquisa mais não incomuns encontradas em uma investigação do SiteCheck no último trimestre.
O spam de palavras-chave é o criminoso mais sensato no último trimestre de 2022. E quando nos comunicamos sobre spam de palavras-chave, queremos dizer coisas como datação ou sites adultos, medicamentos, serviços de redação e réplicas de produtos falsificados.
Os atacantes usam técnicas de camuflagem para manipular rankings de pesquisa e exibir palavras-chave ou conteúdo para procurar mecanismos que podem não ser absolutamente semelhantes ao original. O ArrayCloaking pode exibir links indesejados para o Google enquanto mostra o conteúdo original aos visitantes. Ou os scripts do invasor só podem inserir palavras-chave ou conteúdo de spam que só é demonstrado para procurar agentes usuários do mecanismo.
Como exemplo, é um pequeno fragmento de spam farmacêutico camuflado.
As páginas do site em si não incluirão este trecho, e os visitantes também não o verão. Mas quando um mecanismo de busca rastreia a página, ele descobre este spam farmacêutico camuflado e contamina os efeitos de pesquisa que terminam assim:
E enquanto o Google ainda vincula páginas de sites válidos, quando outras pessoas clicam neles, eles são simplesmente redirecionados para o site da farmácia falsa. O site original comprometido não terá tráfego de busca.
O conteúdo oculto foi classificado na época em termos do tipo máximo não incomum de spam de otimização de mecanismos de busca. Isso difere do spam de palavras-chave no qual, quando o SiteCheck detecta conteúdo oculto, ele identifica certas técnicas de otimização do mecanismo de pesquisa black hat que ocultam spam em uma página válida da Internet. do que o spam em si.
Uma das técnicas mais comuns do último trimestre para ocultar links de spam em uma tag.
Aqui está um exemplo:
Esta div super pequena torna os links de spam dos atacantes invisíveis aos visitantes do site, a menos que tenham o código; No entanto, os mecanismos de busca os verão.
No entanto, não obtenha conceitos sensatos sobre como implementar essas técnicas em seu site. Se o Google detectar links ocultos ou textos em seu conteúdo projetado para manipular rankings de pesquisa, pode ser uma prática enganosa e uma violação de suas diretrizes de webmaster. As classificações podem ser prejudicadas.
O próximo na lista de malware. 27,34% das infecções de sites online foram detectadas como injeção de malware no último trimestre via SiteCheck.
As injeções de malware são explicadas como injeções de scripts externos maliciosos, iframes, scripts inline e removem qualquer coisa que tenha sido relatada como spam de otimização do mecanismo de busca.
Uma notável injeção de malware da cruzada de malware SocGholish em curso relatada através de Denis Sinetubko no início deste ano. Esse malware foi responsável por mais de 30% das injeções no último trimestre e está entre as infecções mais sensíveis que a equipe de remediação da Sucuri limpou no terceiro trimestre.
A cruzada de malware SocGholish usa o JavaScript para exibir avisos falsos para os usuários atualizarem seus navegadores, mas, na realidade, eles são enganados a baixar um Trojan de acesso remoto que pode permitir que um invasor obtenha acesso total e remoto a um computador inflamado. Isso inclui o acesso e o acesso ao mouse e ao KeyboardArray, acesso aos recursos da rede, o que torna menos difícil para o hacker contornar a segurança e a autenticação. Esse malware também tem sido usado como um componente do primeiro nível de ataques de ransomware contra empresas gigantes.
O NDSW, que Denis também relatou no início deste ano, é uma variante do malware SocGholish que o SiteCheck detectou 20. 978 vezes em chamas apenas no terceiro trimestre.
O que distingue o NDSW do chamado código Vanilla SocGholish é que o malware faz referência a uma variável NDSW e compreende um recipiente tradicional que é usado para servir dinamicamente a injeção maliciosa em um proxy PHP.
Este malware foi projetado para sequestrar seus visitantes de página online e redirecioná-los para a página on-line dos invasores, onde eles são solicitados a baixar uma atualização maliciosa do navegador. Funciona em duas etapas. Primeiro, um JS malicioso é injetado em HTML ou aplicado no final de cada arquivo JS. A camada no momento está na carga útil NDSX, que é recuperada através de um script PHP malicioso, que está localizado em um diretório aleatório em algum lugar do site hackeado.
Outra notável cruzada de injeção de malware relatada através de Ben Martin descobriu que os sites wordpress estavam indo para servir notificações falsas de DDoS como esta.
As vítimas veem uma caixa de conversa na tela, fazendo com que cliquem para obter proteção DDoS. E como esses tipos de controles de navegador são tão comuns, muitos usuários podem não hesitar em clicar na faísca para acessar o site.
Mas a verdade é que clicar na notificação maliciosa inicia o download de um registro malicioso diretamente no computador da vítima. Isso é seguido por uma faísca para abrir o cadastro e verificar a caixa do site.
Infelizmente, como verificado por Jerome Segura no MalwareBytes, este registro é um Trojan de acesso remoto conhecido como NETSupport RAT. O mesmo se aplica à instalação de malware conhecida como Raccoon Scouse Borrower, uma ferramenta “malware-as-a-service” que é usada para procurar carteiras de criptomoedas emprestadas, cookies de navegador e autocompletar conhecimentos, senhas e detalhes do cartão de crédito. Essas infecções por ponto final também podem ser a primeira fase de um ataque de ransomware ou conta bancária e literalmente ressaltam a importância de proteger sua página online contra infecções.
Após injeções de malware, temos desfigurações que representaram 1,23% das infecções detectadas no trimestre.
Os danos são explicados como ataques que causam alterações visuais na página de um site, como pichações ou vandalismo. Como mostrado no símbolo a seguir, você pode um dia navegar no seu site e perceber que sua página inicial se parece um pouco com isso:
Os atacantes possivelmente seriam motivados a desfigurar uma página online para fazer um político ou devoto, ou simplesmente rir e causar estragos em um ambiente de riso.
Em quarto lugar na lista, os anúncios indesejados, que respondem por 0,98% das infecções detectadas no último trimestre. Esta categoria abrange qualquer anúncio de site, rastreador ou pop-up que seja exibido sem o consentimento total do webmaster.
Um exemplo não incomum de anúncios indesejados, com 1. 036 detecções vistas no último trimestre, foram essas injeções LNKR.
Esses scripts são injetados em uma página online através de extensões maliciosas do navegador, que podem até mesmo realizar algumas funções úteis e ainda servir malware. A injeção ocorre regularmente quando o proprietário de uma página online edita um post ou página usando o editor WYSIWIG e a extensão maliciosa é seu navegador. Scripts maliciosos são adicionados secretamente ao fim das mensagens, sobrepondo rastreadores e anúncios indesejados no site no processo.
Também conhecido como MageCart, o malware skimmer detectado em sites de 1902 no último trimestre. Essas detecções foram distribuídas em outras 59 variantes e afetaram o ultra-popular CMS WordPress, Magento e OpenCart.
Como o SiteCheck só procura malware do lado do cliente, um grande número de ladrões de cartões de crédito não estão incluídos nesses conjuntos de dados aqui. Muitas infecções de cartão de crédito também podem ser descobertas no ponto do servidor, como modificações de registro php ou injeções de banco de dados, que não serão detectadas com varredura remota. É por isso que oferecer análises do lado do servidor é muito importante.
Também vale a pena notar que não é incomum que o mesmo skimmer de cartão de crédito seja descoberto em milhares de sites. Uma vez que essas campanhas são altamente direcionadas e personalizadas, o malware pode ser criado manualmente para um único site ou para um pequeno punhado de sites.
Infelizmente, mesmo um único skimmer de cartão de crédito em um domínio inflado pode ter um efeito significativo em um proprietário de página online e seus clientes.
Infecções de skimmer podem causar estragos na reputação de receita, tráfego e logotipo, levando a fraude de cartão de crédito, roubo de identidade, recursos roubados do servidor, listas de blocos, conteúdo injetado e redirecionamentos maliciosos. Além disso, o não cumprimento e o não cumprimento das regras do PCI podem resultar em multas significativas, penalidades ou até mesmo a incapacidade de liquidar transações com cartão de crédito em seu site.
Falamos muito sobre algumas das ameaças mais comuns que o SiteCheck detectou no último trimestre. Mas como você lida com todo esse malware?
Bem, a dura verdade é que a segurança nunca é 100%. Há perigos relacionados com o funcionamento de um site. Além disso, quanto mais plugins e partes extensíveis você tiver no lugar, mais vetores de ataque haverá para maus atores.
Essencialmente, segurança é sobre a redução do risco. Quanto mais camadas de cobertura você tiver, mais seguro será o seu ambiente.
Aqui estão algumas das práticas e técnicas de cobertura mais produtivas que você pode aplicar para diminuir a ameaça de malware.
Em primeiro lugar, faça um grande favor a si mesmo e mantenha todos os softwares atualizados com as últimas atualizações.
Isso inclui seus principais CMS, plugins, temas e outros componentes extensíveis. Os atacantes usam scripts automatizados para digitalizar interwebs para sites vulneráveis. Então, se você tem cem visitantes por mês ou cem milhões, os hackers procuram vulnerabilidades conhecidas e podem localizá-las. Patches podem mitigar isso.
Em segundo lugar, use senhas fortes para todas as suas contas.
Isso inclui sFTP, credenciais de banco de dados, logins de administrador: chame-o, ele terá que ser único, imprevisível e lento. Isso significa que não há senha123 ou reutilização de senha para suas contas. caracteres, números, letras maiúsculas e minúsculas para entropia. Os gerenciadores de senhas podem ser úteis na geração e armazenamento de suas senhas com segurança.
Terceiro, obter 2FA em seus painéis de administração.
Os compromissos do painel de administração estão entre os ataques máximos não incomuns enfrentados todos os dias através dos sites WordPress. Então, adicionando autenticação multifatorial ao seu painel, dê um passo vital na prevenção de ataques de força bruta e senha. Isso pode ser feito instalando um plugin WordPress 2FA confiável ou empregando o Firewall Sucuri para habilitar o recurso em seu site.
Em quarto lugar, instale o certificado SSL para criptografar o conhecimento à medida que ele viaja entre o navegador do visitante e o servidor da Internet.
O SSL não pode proteger uma página on-line contra infecções por malware. Mas é vital para uma comunicação segura entre servidor e cliente e é imprescindível para a conformidade com pci ou qualquer página online que lide com dados confidenciais, formulário de cartão de crédito, senhas, ID do usuário. e assim por diante.
Em quinto lugar, coloque seu site em um firewall de aplicativo web.
De fato, alguns firewalls, como o firewall Sucuri, podem ajudar a mitigar vulnerabilidades conhecidas de páginas online através de patches virtuais. Além disso, você pode aproveitar as páginas para limitar o acesso a apenas certos endereços IP. Mas, o mais importante, os firewalls podem ajudar a proteger sua página online contra ataques através do exame e filtragem de pacotes maliciosos. Isso significa maior proteção contra ataques de força bruta, bots ruins e DDoS.
Finalmente, considere usar uma ferramenta de rastreamento de integridade de log. Embora isso não seja possível para todos os ambientes, a integridade do log pode ajudar em alguns ambientes de página on-line a identificar problemas de segurança e possíveis sinais de comprometimento, verificando e verificando a integridade dos registros de páginas on-line.
E se você encontrar malware em seu site, não entre em pânico. Entre em contato com o provedor de serviços de segurança da página online que você gosta para obter ajuda para se livrar da infecção.
Por fim, o botão abaixo do relatório completo.
Receba as notícias
SemperUpdate é um Linux composto por membros do Linux ou comunidades de código aberto. Além do Linux, também nos comunicamos sobre conteúdo Geek e outros tópicos relacionados à tecnologia.
© 2022 AlwaysUpdate – Todos os direitos reservados
Removido da lista de reprodução