1만 개 워드프레스 연루 대규모 애드센스 사기 캠페인 발견 Massive AdSense Fraud Campaign Uncovered - 10,000+ WordPress Sites

 

 

대규모 애드센스 사기 캠페인 적발

10,000개 이상의 WordPress 사이트 감염

 

   블랙햇 리다이렉트 악성코드 캠페인의 배후에 있는 위협 행위자들은 URL 단축자를 모방한 70개 이상의 가짜 도메인을 사용하고 10,800개 이상의 웹사이트를 감염시키기 위해 캠페인을 확대했다.

 

벤 마틴 수쿠리 연구원은 지난주 발간한 보고서에서 "주요 목표는 여전히 수익 창출을 위해 구글 광고가 포함된 애드센스 ID가 포함된 페이지에 인위적으로 트래픽을 늘리는 광고 사기"라고 밝혔다.

 

 

 

악성 행위에 대한 자세한 내용은 2022년 11월 고대디가 소유한 회사가 처음 공개했다.

 

지난해 9월부터 활동한 것으로 알려진 이 캠페인은 방문객들이 손상된 워드프레스 사이트를 가짜 Q&A 포털로 리디렉션하기 위해 기획된 것이다. 검색 엔진 결과에서 스팸 사이트의 권한을 높이는 것이 목표인 것으로 보인다.

 

당시 수구리는 "이 나쁜 행위자들이 단순히 서로 다른 브라우저를 사용하는 서로 다른 IP의 실제 사람들이 검색 결과를 클릭하고 있다는 것을 구글을 설득하려 할 가능성이 있다"고 지적했다. "이 기술은 구글이 해당 페이지들이 검색에서 잘 수행되고 있다는 신호를 인공적으로 보낸다."

 

이번 캠페인을 의미 있게 만드는 것은 구글과 함께 빙 검색 결과 링크와 트위터의 링크 단축(t[.]co) 서비스를 리다이렉트에 사용해 위협 행위자의 발자취가 확대됐음을 보여준다.

 

또한 Bitly, Cuttly 또는 ShortURL과 같은 인기 있는 URL 단축 도구로 위장하지만 실제로 방문자를 스케치한 Q&A 사이트로 안내하는 유사 짧은 URL 도메인도 사용된다.

 

 

수구리는 URL 도메인이 현재 방탄 호스팅 서비스를 제공한다는 이유로 스캐너 아래에 있는 러시아 인터넷 인프라 제공업체 DDoS-Guard에서 호스팅되는 등 블록체인과 암호화폐를 논의하는 Q&A 사이트에 리다이렉트가 상륙했다고 밝혔다.

 

마틴은 "가짜 짧은 URL을 통해 가짜 Q&A 사이트로 원치 않는 리다이렉트는 광고 조회/클릭을 부풀려 이 캠페인의 배후에 있는 사람들의 수익을 부풀리는 결과를 초래한다"고 설명했다. "그것은 조직적인 광고 수익 사기의 매우 크고 지속적인 캠페인 중 하나다."

 

 

애초에 워드프레스 사이트들이 어떻게 감염되는지 정확히 알려지지 않았다. 그러나 웹 사이트가 침해되면 위협 행위자는 사이트 방문자를 리디렉션할 뿐만 아니라 지속적인 원격 액세스를 허용하는 백도어 PHP 코드를 주입한다.

 

"추가 악성코드 주입이 wp-blog-header 내에 있기 때문입니다.php 파일은 웹 사이트가 로드될 때마다 실행되고 웹 사이트를 다시 감염시킨다."라고 Martin은 말했다. "이를 통해 악성 프로그램의 모든 흔적이 처리될 때까지 환경이 감염된 상태를 유지할 수 있다."

 

황기철 콘페이퍼 에디터 국토부 인플루언서

Ki Chul Hwang Conpaper editor influencer

 

 

(Source: thehackernews.com/2023/02/massive-adsense-fraud-campaign.html)

kcontents