Siber suçlular, dünyanın en popüler CMS’sinin eski sürümlerini çalıştıran WordPress sitelerini kötü niyetli kimlik avı reklamları yayınlamak için kullanmak için hedeflemeye başladı.
Güvenlik araştırmacıları Siber haberler Bu yeni saldırı yöntemini ilk olarak geçen yılın Aralık ayında rutin bir tarama operasyonu sırasında öğrenmişti. Ancak bulguları, WordPress’in eski sürümlerini çalıştıran veya uygun WordPress güvenlik eklentileri yüklü olmayan yüzlerce sitenin güvenliğini aşmak için kullanılan yasa dışı bir para kazanma planının keşfedilmesine yol açtı.
Bunu başarmak için, sorumlu siber suçlular, önce açıklardan yararlanma veya kimlik bilgisi doldurma saldırıları kullanarak savunmasız web sitelerini ihlal etti. Hedeflenen sitelerin WordPress kurulumlarına bir PHP komut dosyası enjekte ederek, bunları ikinci aşama komut dosyaları tarafından tetiklendiğinde veya bir bağlantı tarafından açıldığında kötü amaçlı reklamlar sunan komuta ve kontrol noktalarına dönüştürebildiler. Şaşırtıcı bir şekilde, tarafından bulunan tüm kötü niyetli PHP betikleri Siber haberler hepsi meşru WordPress eklentileri olarak maskeleniyordu.
Siber haberler‘ Vincentas Baubonis açıkladı yeni rapor Bir JavaScript kodunun başlangıçta güvenlik araştırmacılarını daha fazla araştırmaya nasıl yönlendirdiğini söyleyerek:
“Bu özel JavaScript kodu parçası, ağır gizleme ve garip dağıtım koşulları nedeniyle ekibin dikkatini çekti. Kod gizleme, yasal geliştiriciler ve tehdit aktörleri tarafından tersine mühendisliği önlemek için kullanılan bir tekniktir. Bu durumda, kötü amaçlı kodun gizlenmesi için gerçek yükü tersine çevirmek için kullanıldı.”
Kötü niyetli PHP betiklerinin meşru eklentiler gibi görünmesinin ardından, WordPress sitelerinin eski sürümlerine, HTML’lerine daha önce saldırıya uğramış komut ve kontrol noktalarına yol açan referanslar eklemek için otomatik saldırılar başlatıldı.
Buna göre Siber haberler, bu saldırının tüm yinelemelerinin ilk aşaması, daha sonra komut ve kontrol komut dosyalarını barındırmak için kullanılan dört siteyi tehlikeye atarken, ikinci aşama çoğunlukla WordPress’in 3.5.1 ile 4.9.1 arasında değişen eski sürümlerini çalıştıran siteleri hedef aldı. Yayının araştırma ekibi, güvenliği ihlal edilmiş en az 560 WordPress sitesi buldu ve bunlardan 382’si kötü amaçlı kod çalıştırmaya zorlandı. Neyse ki, hataların veya WordPress’in yerleşik güvenlik önlemlerinin bir sonucu olarak, güvenliği ihlal edilen sitelerin tümü sorumlu siber suçlular için gelir elde edemedi.
Ek olarak, on siteden sadece yedisinin, muhtemelen teknik nedenler veya kodun olmaması gereken yerlerde çalışmasını engelleyen yerleşik WordPress tema güvenliği nedeniyle kötü amaçlı reklamlar sunduğu tespit edildi.
En çok hedeflenen sitelere sahip ülkelere gelince, ABD’yi 201 ele geçirilmiş web sitesi vardı, onu Fransa (62), Almanya (51) ve İngiltere (34) izledi. En kötü sonucu web barındırma sağlayıcılarına gelince, GoDaddy 42 web sitesi ile en üst sırada yer aldı, onu 30 web sitesi ile WebsiteWelcome ve 27 web sitesi ile OVH ISP izledi. Bununla birlikte, veriler ISP tarafından indekslendiğinde, OVH SAS, Unified Layer ile hacklenen 55 web sitesi ile listenin başında 53 web sitesi ile ikinci sırada ve GoDaddy 43 web sitesi ile üçüncü sırada yer aldı.
siber haberler’ son rapor, WordPress sitenizi güncel tutmanın öneminin bir başka hatırlatıcısıdır. WordPress sitenizi güncellemeyi sık sık unuttuğunuz bir şeyse, her şeyi kendiniz yapmak yerine yönetilen bir WordPress çözümüne kaydolmanız daha iyi olabilir.
Üzerinden Siber haberler