Los hacks SEO continúan plagando las páginas web en la medida que los atacantes abusan los rankings en las páginas de resultados de los motores de búsqueda para su propio beneficio. Todo el tiempo y esfuerzo que el dueño de la página web invierte en crear, optimizar y construir enlaces es robado por un atacante en nada más un instante.
Por muchos años, las inyecciones de spam colocadas dentro de páginas legítimas ha sido uno de los tipos de hacks SEO de sombrero negro más frecuentes que hemos encontrado. De hecho, spam SEO representa un 30% de las familias de malware que vimos el año pasado mientras limpiabamos malware en sitios web. Los hackers inventan nuevos trucos de manera constante para hacer que el spam sea invisible para los humanos, pero indexable para los motores de búsqueda. Pero las tácticas SEO de sombrero negro como estas son cada vez más difíciles de ocultar a los propietarios de páginas web.
En esta publicación vamos a esquematizar la simple evolución de las tácticas usadas por los hackers para ocultar el spam. Estos pasos detallan un caso específico que nos encontramos, pero pueden ser fácilmente usados para identificar ataques similares.
- Con hacks SEO, el truco más simple es poner todo el contenido spam dentro un elemento div y aplicarle el estilo display:none. Esto es bastante sencillo y fácil de detectar.
- Una evolución más compleja de la misma idea, es aplicar los estilos para hacer el elemento div invisible por medio de código JavaScript como el siguiente:
document.getElementById(‘spam-div-id’).style.display = ‘none’;
- Pero incluso con esta complejidad extra, es bastante fácil detectar un div oculto con el código anterior. El siguiente paso que los atacantes usaron fue la creación dinámica de IDs dentro del código. Hace unos años, describimos esta técnica en una nota de los Labs de Sucuri llamada “Estilo Doblemente Oculto“. Esta técnica contiene expresiones matemáticas dentro de su código para generar IDs numéricos aleatorios e identificar a los elementos div con ellos.
<div id="232">...spammy content here...</div> <script>document.getElementById(116*2).style.display='none';</script>
- El código todavía parece sospechoso y está claro que su función es hacer algo invisible. Pero ahora, los atacantes hacen un truco mucho más difícil de notar a simple vista. Mejoraron la ofuscación – además de una expresión matemática más compleja, ahora en lugar del sospechoso ”display” y ”none”, sólo puedes ver un ”play” y ”one”.
<script>(function(g,h,i,f){i.getElementById(f).style['dis'+g]='n'+h;})('play','one',document,214*102+105);</script>
- El ejecutable es corto pero se hace un poco difícil de entender para los administradores. Sin embargo, si ves este código detenidamente, puedes notar que hace exactamente lo mismo – oculta un elemento HTML con su id numérico:
document.getElementById(214*102+105).style[‘display’]=’none’;
Es importante notar que esto nada más es una línea de código, en la evolución del código usado para ocultar spam. Hay otros medios que los hackers utilizan para ocultar inyecciones de spam de los humanos, y abusar del SEO de la página web.
Si piensas que has sido víctima de un ataque, estamos aquí para ayudarte a detectar y remover cualquier infección de malware de tu página web.
Fuente:https://blog.sucuri.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
