خرابی سئو سایت با استفاده بیش از حد از جاوا اسکریپت

خرابی  سئو سایت با استفاده بیش از حد از جاوا اسکریپت و بد افزار های آن :

محققان یک کمپین مسمومیت بهینه سازی موتور جستجو (SEO) را کشف کرده اند که به نظر می رسد کارمندان صنایع مختلف و بخش های دولتی را هنگام جستجوی عبارات خاص مرتبط با کارشان هدف قرار می دهد. با کلیک بر روی نتایج جستجوی مخرب، که به طور مصنوعی در رتبه بندی بالاتر قرار می گیرند، بازدیدکنندگان را به یک دانلود کننده بدافزار شناخته شده جاوا اسکریپت هدایت می کند.

محققان شرکت امنیتی Deepwatch در گزارشی جدید گفتند: «یافته‌های ما نشان می‌دهد که این کمپین ممکن است از طریق تجزیه و تحلیل موضوعات پست‌های وبلاگ، نفوذ سرویس‌های اطلاعاتی خارجی را داشته باشد. "بازیگران تهدید از عناوین پست وبلاگی استفاده می کردند که یک فرد جستجو می کند که سازمان آن ممکن است مورد علاقه یک سرویس اطلاعاتی خارجی باشد، مانند "توافقنامه محرمانه برای مترجمان". تیم Threat Intel متوجه شد که عوامل تهدید به احتمال زیاد 192 پست وبلاگ را در یک سایت ایجاد کرده اند."

نحوه عملکرد سئو مسمومیت :

Deepwatch در حین بررسی حادثه ای در یک مشتری با این کمپین مواجه شد که در آن یکی از کارمندان «توافقنامه خدمات انتقال» را در Google جستجو کرد و در نهایت به وب سایتی رسید که به نظر می رسید یک موضوع انجمن به آنها ارائه شود که در آن یکی از کاربران یک موضوع را به اشتراک گذاشته است. پیوند به آرشیو فشرده بایگانی فشرده حاوی فایلی به نام "توافقنامه حسابداری برای خدمات انتقال" با پسوند.

js (جاوا اسکریپت) بود که نوعی از Gootloader بود، دانلود کننده بدافزاری که در گذشته برای ارائه یک تروجان دسترسی از راه دور به نام Gootkit شناخته می شد، اما همچنین بارهای مختلف بدافزار دیگر. .

قراردادهای خدمات انتقال (TSA) معمولاً در طول ادغام و اکتساب برای تسهیل انتقال بخشی از یک سازمان پس از فروش استفاده می شود. از آنجایی که آنها اغلب مورد استفاده قرار می گیرند، احتمالاً منابع زیادی برای آنها در دسترس است. این واقعیت که کاربر این لینک را دیده و روی آن کلیک کرده است نشان می دهد که در رتبه بالایی نمایش داده شده است.

وقتی به سایت میزبان صفحه تحویل بدافزار نگاه می‌کردند، محققان متوجه شدند که این یک سایت توزیع پخش جریانی ورزشی است که بر اساس محتوای آن احتمالاً قانونی است.

 با این حال، بیش از 190 پست وبلاگ در مورد موضوعات مختلف در اعماق ساختار آن پنهان بود که برای متخصصانی که در بخش‌های مختلف صنعت کار می‌کنند جالب توجه است. دسترسی به این پست های وبلاگ فقط از طریق نتایج جستجوی گوگل امکان پذیر است.

محققان گفتند: «پست‌های وبلاگ مشکوک موضوعاتی از دولتی، حقوقی گرفته تا املاک، پزشکی و آموزش را پوشش می‌دهند. برخی از پست‌های وبلاگ موضوعات مربوط به سوالات یا اقدامات قانونی و تجاری خاص برای ایالت‌های ایالات متحده مانند کالیفرنیا، فلوریدا و نیوجرسی را پوشش می‌دهند.

سایر پست‌های وبلاگ موضوعات مرتبط با استرالیا، کانادا، نیوزلند، بریتانیا، ایالات متحده، و کشورهای دیگر."

کاری که یک مهاجم برای خرابی سئو سایت انجام میدهد: 

علاوه بر این، مهاجمان یک مکانیسم ترجمه را به کار گرفتند که به طور خودکار نسخه هایی از این پست های وبلاگ را به زبان های پرتغالی و عبری ترجمه و تولید می کند. برخی از موضوعات بسیار خاص هستند و قربانیان را از بخش‌هایی جذب می‌کنند.

که مورد علاقه سازمان‌های اطلاعاتی خارجی هستند، به‌عنوان مثال موافقت‌نامه‌های دوجانبه خدمات هوایی (هواپیمایی کشوری)، مالکیت معنوی در قراردادهای دولتی (پیمانکاران دولتی) یا سازمان همکاری شانگهای (افراد). کار در رسانه های جمعی، امور خارجی یا روابط بین الملل). پست‌های وبلاگ تکراری از محتوای دیگر از وب نیستند، که احتمالاً گوگل آن‌ها را در نتایج جستجو می‌گیرد و جریمه می‌کند، بلکه بیشتر از منابع متعددی جمع‌آوری شده‌اند که ظاهر پست‌های اصلی به خوبی تحقیق شده‌اند.

محققان گفتند: "با توجه به وظیفه مهم تحقیق و ایجاد صدها پست وبلاگ، ممکن است تصور شود که افراد زیادی با هم کار می کنند." با این حال، این کار ممکن است برای یک فرد تنها با وجود سطح درک شده از تلاش مورد نیاز برای انجام این کار، کاملا غیرقابل اجرا نباشد.

چگونه TAC-011 و Gootloader مسمومیت SEO را فعال می کنند:

Deepwatch این کمپین را به گروهی نسبت می‌دهد که آن‌ها به‌عنوان TAC-011 دنبال می‌کنند که چندین سال فعالیت می‌کند و احتمالاً صدها وب‌سایت قانونی وردپرس را به خطر انداخته است و ممکن است هزاران پست وبلاگ جداگانه برای افزایش رتبه‌بندی جستجوی Google خود ایجاد کرده باشد.

هنگامی که یک بازدیدکننده روی یکی از نتایج جستجوی سرکش کلیک می کند، مستقیماً به پست وبلاگ منتقل نمی شود، بلکه یک اسکریپت کنترل شده توسط مهاجم اطلاعات مربوط به آدرس IP، سیستم عامل و آخرین بازدید شناخته شده آنها را جمع آوری می کند و سپس یک سری بررسی را قبل از انجام می دهد.

تصمیم بگیرید که آیا پست وبلاگ خوش خیم یا پوشش مخربی را که از یک موضوع انجمن تقلید می کند به آنها نشان دهید. بر اساس آزمایش‌های محققان، کاربرانی که پوشش را دریافت کرده‌اند، حداقل تا 24 ساعت دوباره آن را دریافت نمی‌کنند. 

بازدیدکنندگانی که از سرویس‌های VPN شناخته شده یا Tor استفاده می‌کنند و همچنین کسانی که از سیستم‌عامل‌های دیگری به جز ویندوز استفاده می‌کنند، به پوشش هدایت نمی‌شوند.

فایل فشرده لینک شده در موضوع انجمن جعلی در سایر وب سایت های در معرض خطر میزبانی می شود که احتمالاً از یک سرور مرکزی فرمان و کنترل کنترل می شوند. محققان نتوانستند تعیین کنند که Gootloader چه محموله‌های اضافی را روی ماشین‌های قربانی مستقر کرده است.

زیرا احتمالاً بر اساس سازمان قربانی انتخاب شده‌اند. فایل مخرب جاوا اسکریپت همچنین اطلاعاتی را در مورد ماشین قربانی از جمله متغیر %USERDNSDOMAIN% جمع آوری می کند که می تواند نام دامنه شرکتی داخلی سازمان را نشان دهد.

محققان می‌گویند: «به عنوان مثال، اگر شرکتی با محیط اکتیو دایرکتوری ویندوز و رایانه‌ای که وارد شبکه سازمان شده باشد، در معرض خطر قرار گیرد، دشمن می‌داند که به آن سازمان دسترسی دارد». "در این مرحله، عامل تهدید می‌تواند دسترسی را بفروشد یا ابزار دیگری مانند Cobalt Strike را رها کند و به صورت جانبی در محیط حرکت کند."

کاهش حملات مسمومیت سئو  SEO :

سازمان ها باید کارمندان خود را آموزش دهند تا از این حملات مسموم کننده نتایج جستجو آگاه باشند و هرگز فایل هایی با پسوندهای مشکوک را اجرا نکنند. این را می توان از طریق Group Policy اعمال کرد تا فایل هایی با پسوندهای اسکریپت بالقوه خطرناک مانند .js، .vbs، .vbe، .jse، .hta و wsf. با یک ویرایشگر متنی مانند Notepad باز شوند به جای اجرای آنها با برنامه Microsoft Windows Based Script Host که رفتار پیش فرض در ویندوز است.

یکی دیگر از راهنمایی‌های غیرفنی ارائه شده توسط Deepwatch این است که مطمئن شوید کارمندان قالب‌های توافق مورد نیاز خود را در داخل در دسترس دارند. بیش از 100 پست وبلاگ یافت شده در آن یک سایت پخش ورزشی آسیب دیده در مورد نوعی الگوی توافق نامه تجاری بود. 34 مورد دیگر در مورد قراردادها بود. قانون، خرید، مالیات و حقوق نیز کلیدواژه های رایج بودند. تکنیک تالار گفتگوی جعلی حداقل از مارس 2021 مورد استفاده قرار گرفته است و هنوز هم کار می‌کند، و این نشان می‌دهد که مهاجمان همچنان آن را قابل اجرا می‌دانند و نرخ موفقیت بالایی دارد.

محققان می‌گویند: «داشتن فرآیندی که در آن یک کارمند می‌تواند الگوهای خاصی را درخواست کند، ممکن است نیاز او به جستجوی الگوها را کاهش دهد و در نتیجه قربانی این تاکتیک‌ها شود».

برچسب ها : سئو سایت چیست , خرابی در سئو سایت ,سئو سایت وردپرس چیست ,سئو وردپرس ,سئو سایت وردپرس,سایت وردپرس,سئو ,سئو چیست, بد افزار جاوا اسکریپت