Fortra的情报和研究专家(FIRE)在Telegram和WhatsApp上发现了大量的“HaxorSEO”或“HxSEO”操作和有针对性的网络攻击

Fortra的情报和研究专家(FIRE)在Telegram和WhatsApp上发现了“HaxorSEO”或“HxSEO”操作。

他们发现了一个庞大的反向链接市场，旨在帮助威胁行为者获得恶意网页在搜索列表中的排名。


它提供了超过1000个预先妥协但合法的域名的反向链接。

“这些域名通常有15-20年的历史，与精选的‘信任’分数一起营销，以宣传购买的反向链接对提高搜索引擎排名有多么有效，”Fortra解释说。

“一旦付款，该集团将把反向链接和恶意地址一起添加到合法域名，增加买家成功实现目标的可能性。”


每个合法网站都有一个webshell，使Haxor能够向网站上传恶意反向链接。

通过购买这些链接，然后将其插入网站，威胁行为者可以提高搜索排名，将不知情的访问者吸引到旨在获取他们的凭据或安装恶意软件的钓鱼页面。

Fortra说，在某些情况下，HxSEO成功优化了欺诈性银行登录页面，这意味着它们的排名高于它们窃取的合法登录页面。

该供应商声称，Haxor还可以通过使用垃圾邮件、低权威网站上的不良反向链接，对被模仿的合法页面的SEO分数产生负面影响。




成本低，影响大
该操作提供反向链接，每个列表只需6美元，并自动将必要的代码注入受损网站，使这一服务对威胁行为者极具吸引力。

“这再加上在搜索结果中发现反向链接的困难，不可避免地会导致大规模的攻击，”它警告说。

HxSEO market本身列出了恶意反向链接，以及常见的SEO指标，这些指标表明了一个域/网页的权威和实力。

“页面权限(PA)、域权限(DA)和域评级(DR)预测网站对SEO中毒的有效性，其中域评级是该域反向链接档案有效性的最强指标，”Fortra解释道。

“SS或垃圾邮件分数估计一个域被处罚或被视为垃圾邮件的可能性。

该名单通常会在特定时间公布100-150个受损网站，而被遗忘的学术期刊网页显然是首选。

报告指出，Hexor团队最常针对易受攻击的php组件和Wordpress插件，使用各种文件上传和远程代码执行漏洞。

敦促用户小心谨慎
尽管搜索引擎一直在寻找像这样的恶意活动，但稳定的新域名供应、新鲜的反向链接和内容更新可以让像Hexor这样的运营持续下去。

此外，Fortra说，使用这些服务的客户可能只需要一个恶意钓鱼网站运行几天或几周。

威胁情报公司一直在与相关的域名服务提供商、网站所有者和搜索引擎合作，以清除恶意网页。

然而，它也鼓励用户提高对这类计划的认识。

“建议用户警惕通过搜索引擎访问的URL，尤其是银行登录页面。

最佳做法是将敏感的登录页面(比如你的银行登录页面)标记为书签，而不是通过搜索引擎来定位。

“请确保验证URL中的域是合法的，并留意那些看起来相似的域，这些域可能有您不会立即注意到的微小拼写差异。如果您不确定，请联系您的银行，让他们识别正确的登录页面。”