خرابی سئو سایت با استفاده بیش از حد از جاوا اسکریپت و بد افزار های آن :
محققان یک کمپین مسمومیت بهینه سازی موتور جستجو (SEO) را کشف کرده اند که به نظر می رسد کارمندان صنایع مختلف و بخش های دولتی را هنگام جستجوی عبارات خاص مرتبط با کارشان هدف قرار می دهد. با کلیک بر روی نتایج جستجوی مخرب، که به طور مصنوعی در رتبه بندی بالاتر قرار می گیرند، بازدیدکنندگان را به یک دانلود کننده بدافزار شناخته شده جاوا اسکریپت هدایت می کند.
محققان شرکت امنیتی Deepwatch در گزارشی جدید گفتند: «یافتههای ما نشان میدهد که این کمپین ممکن است از طریق تجزیه و تحلیل موضوعات پستهای وبلاگ، نفوذ سرویسهای اطلاعاتی خارجی را داشته باشد. "بازیگران تهدید از عناوین پست وبلاگی استفاده می کردند که یک فرد جستجو می کند که سازمان آن ممکن است مورد علاقه یک سرویس اطلاعاتی خارجی باشد، مانند "توافقنامه محرمانه برای مترجمان". تیم Threat Intel متوجه شد که عوامل تهدید به احتمال زیاد 192 پست وبلاگ را در یک سایت ایجاد کرده اند."
نحوه عملکرد سئو مسمومیت :
Deepwatch در حین بررسی حادثه ای در یک مشتری با این کمپین مواجه شد که در آن یکی از کارمندان «توافقنامه خدمات انتقال» را در Google جستجو کرد و در نهایت به وب سایتی رسید که به نظر می رسید یک موضوع انجمن به آنها ارائه شود که در آن یکی از کاربران یک موضوع را به اشتراک گذاشته است. پیوند به آرشیو فشرده بایگانی فشرده حاوی فایلی به نام "توافقنامه حسابداری برای خدمات انتقال" با پسوند.
js (جاوا اسکریپت) بود که نوعی از Gootloader بود، دانلود کننده بدافزاری که در گذشته برای ارائه یک تروجان دسترسی از راه دور به نام Gootkit شناخته می شد، اما همچنین بارهای مختلف بدافزار دیگر. .
قراردادهای خدمات انتقال (TSA) معمولاً در طول ادغام و اکتساب برای تسهیل انتقال بخشی از یک سازمان پس از فروش استفاده می شود. از آنجایی که آنها اغلب مورد استفاده قرار می گیرند، احتمالاً منابع زیادی برای آنها در دسترس است. این واقعیت که کاربر این لینک را دیده و روی آن کلیک کرده است نشان می دهد که در رتبه بالایی نمایش داده شده است.
وقتی به سایت میزبان صفحه تحویل بدافزار نگاه میکردند، محققان متوجه شدند که این یک سایت توزیع پخش جریانی ورزشی است که بر اساس محتوای آن احتمالاً قانونی است.
با این حال، بیش از 190 پست وبلاگ در مورد موضوعات مختلف در اعماق ساختار آن پنهان بود که برای متخصصانی که در بخشهای مختلف صنعت کار میکنند جالب توجه است. دسترسی به این پست های وبلاگ فقط از طریق نتایج جستجوی گوگل امکان پذیر است.
محققان گفتند: «پستهای وبلاگ مشکوک موضوعاتی از دولتی، حقوقی گرفته تا املاک، پزشکی و آموزش را پوشش میدهند. برخی از پستهای وبلاگ موضوعات مربوط به سوالات یا اقدامات قانونی و تجاری خاص برای ایالتهای ایالات متحده مانند کالیفرنیا، فلوریدا و نیوجرسی را پوشش میدهند.
سایر پستهای وبلاگ موضوعات مرتبط با استرالیا، کانادا، نیوزلند، بریتانیا، ایالات متحده، و کشورهای دیگر."
کاری که یک مهاجم برای خرابی سئو سایت انجام میدهد:
علاوه بر این، مهاجمان یک مکانیسم ترجمه را به کار گرفتند که به طور خودکار نسخه هایی از این پست های وبلاگ را به زبان های پرتغالی و عبری ترجمه و تولید می کند. برخی از موضوعات بسیار خاص هستند و قربانیان را از بخشهایی جذب میکنند.
که مورد علاقه سازمانهای اطلاعاتی خارجی هستند، بهعنوان مثال موافقتنامههای دوجانبه خدمات هوایی (هواپیمایی کشوری)، مالکیت معنوی در قراردادهای دولتی (پیمانکاران دولتی) یا سازمان همکاری شانگهای (افراد). کار در رسانه های جمعی، امور خارجی یا روابط بین الملل). پستهای وبلاگ تکراری از محتوای دیگر از وب نیستند، که احتمالاً گوگل آنها را در نتایج جستجو میگیرد و جریمه میکند، بلکه بیشتر از منابع متعددی جمعآوری شدهاند که ظاهر پستهای اصلی به خوبی تحقیق شدهاند.
محققان گفتند: "با توجه به وظیفه مهم تحقیق و ایجاد صدها پست وبلاگ، ممکن است تصور شود که افراد زیادی با هم کار می کنند." با این حال، این کار ممکن است برای یک فرد تنها با وجود سطح درک شده از تلاش مورد نیاز برای انجام این کار، کاملا غیرقابل اجرا نباشد.
چگونه TAC-011 و Gootloader مسمومیت SEO را فعال می کنند:
Deepwatch این کمپین را به گروهی نسبت میدهد که آنها بهعنوان TAC-011 دنبال میکنند که چندین سال فعالیت میکند و احتمالاً صدها وبسایت قانونی وردپرس را به خطر انداخته است و ممکن است هزاران پست وبلاگ جداگانه برای افزایش رتبهبندی جستجوی Google خود ایجاد کرده باشد.
هنگامی که یک بازدیدکننده روی یکی از نتایج جستجوی سرکش کلیک می کند، مستقیماً به پست وبلاگ منتقل نمی شود، بلکه یک اسکریپت کنترل شده توسط مهاجم اطلاعات مربوط به آدرس IP، سیستم عامل و آخرین بازدید شناخته شده آنها را جمع آوری می کند و سپس یک سری بررسی را قبل از انجام می دهد.
تصمیم بگیرید که آیا پست وبلاگ خوش خیم یا پوشش مخربی را که از یک موضوع انجمن تقلید می کند به آنها نشان دهید. بر اساس آزمایشهای محققان، کاربرانی که پوشش را دریافت کردهاند، حداقل تا 24 ساعت دوباره آن را دریافت نمیکنند.
بازدیدکنندگانی که از سرویسهای VPN شناخته شده یا Tor استفاده میکنند و همچنین کسانی که از سیستمعاملهای دیگری به جز ویندوز استفاده میکنند، به پوشش هدایت نمیشوند.
فایل فشرده لینک شده در موضوع انجمن جعلی در سایر وب سایت های در معرض خطر میزبانی می شود که احتمالاً از یک سرور مرکزی فرمان و کنترل کنترل می شوند. محققان نتوانستند تعیین کنند که Gootloader چه محمولههای اضافی را روی ماشینهای قربانی مستقر کرده است.
زیرا احتمالاً بر اساس سازمان قربانی انتخاب شدهاند. فایل مخرب جاوا اسکریپت همچنین اطلاعاتی را در مورد ماشین قربانی از جمله متغیر %USERDNSDOMAIN% جمع آوری می کند که می تواند نام دامنه شرکتی داخلی سازمان را نشان دهد.
محققان میگویند: «به عنوان مثال، اگر شرکتی با محیط اکتیو دایرکتوری ویندوز و رایانهای که وارد شبکه سازمان شده باشد، در معرض خطر قرار گیرد، دشمن میداند که به آن سازمان دسترسی دارد». "در این مرحله، عامل تهدید میتواند دسترسی را بفروشد یا ابزار دیگری مانند Cobalt Strike را رها کند و به صورت جانبی در محیط حرکت کند."
کاهش حملات مسمومیت سئو SEO :
سازمان ها باید کارمندان خود را آموزش دهند تا از این حملات مسموم کننده نتایج جستجو آگاه باشند و هرگز فایل هایی با پسوندهای مشکوک را اجرا نکنند. این را می توان از طریق Group Policy اعمال کرد تا فایل هایی با پسوندهای اسکریپت بالقوه خطرناک مانند .js، .vbs، .vbe، .jse، .hta و wsf. با یک ویرایشگر متنی مانند Notepad باز شوند به جای اجرای آنها با برنامه Microsoft Windows Based Script Host که رفتار پیش فرض در ویندوز است.
یکی دیگر از راهنماییهای غیرفنی ارائه شده توسط Deepwatch این است که مطمئن شوید کارمندان قالبهای توافق مورد نیاز خود را در داخل در دسترس دارند. بیش از 100 پست وبلاگ یافت شده در آن یک سایت پخش ورزشی آسیب دیده در مورد نوعی الگوی توافق نامه تجاری بود. 34 مورد دیگر در مورد قراردادها بود. قانون، خرید، مالیات و حقوق نیز کلیدواژه های رایج بودند. تکنیک تالار گفتگوی جعلی حداقل از مارس 2021 مورد استفاده قرار گرفته است و هنوز هم کار میکند، و این نشان میدهد که مهاجمان همچنان آن را قابل اجرا میدانند و نرخ موفقیت بالایی دارد.
محققان میگویند: «داشتن فرآیندی که در آن یک کارمند میتواند الگوهای خاصی را درخواست کند، ممکن است نیاز او به جستجوی الگوها را کاهش دهد و در نتیجه قربانی این تاکتیکها شود».
برچسب ها : سئو سایت چیست , خرابی در سئو سایت ,سئو سایت وردپرس چیست ,سئو وردپرس ,سئو سایت وردپرس,سایت وردپرس,سئو ,سئو چیست, بد افزار جاوا اسکریپت
خدمات سئو سایت | سئو سایت وردپرس | آرتاکد نیلو بلاگ...
ما را در سایت خدمات سئو سایت | سئو سایت وردپرس | آرتاکد نیلو بلاگ دنبال می کنید
برچسب : سئو , سئو سایت , خدمات سئو سایت , seo, بهینه سازی موتور جست و جو , متخصص سئو , متخصص سئو وردپرس , سئو سایت وردپرس چیست , نویسنده : amirpedram بازدید : 135 تاريخ : دوشنبه 4 مهر 1401 ساعت: 18:00