Kampanya Eylül 2022’den beri aktif ve web sitesi enfeksiyonlarındaki son artış Ocak 2023’te kaydedildi.
Sucuri araştırmacıları, son aylarda yaklaşık 11.000 web sitesine başarıyla bulaşan bir arka kapı bildirdiler. İşte Sucuri’nin teknik raporunda paylaştığı detaylar.
Son zamanlarda, birkaç Google ürününün, kötü amaçlı yazılımları ve diğer kötü amaçlı bileşenleri yaymak için istismar edildiği ve suistimal edildiği bir gerçektir. Google Reklamları, Google eviVe Google sürücü.
Aslında, bir çalışma ortaya çıktı Google Drive’ın 2022’de kötü amaçlı Office belgesi indirme işlemlerinin %50’sinden sorumlu olduğu.
Ziyaretçileri Saldırıya Uğramış Sitelere Arka Kapıdan Yönlendirme
Sucuri’nin araştırmasına göre, arka kapı, kullanıcıları sahte görünümler gösteren sitelere yönlendiriyor. Google AdSense reklamları. Şirketin SiteCheck uzak tarayıcısı, 10.890’dan fazla virüslü site tespit etti. 2023’te meşru kılığına giren 70 yeni kötü amaçlı alan adı ve web’de keşfedilen 2.600 virüslü site ile etkinlik son zamanlarda daha da yoğunlaştı.
Sucuri tarafından tespit edilen tüm virüslü web siteleri WordPress İYS. Bunlar, index.php, wp-Activate.php, wp-signup.php ve wp-cron.php gibi web sitelerindeki meşru dosyalara gizlenmiş bir PHP betiğine sahipti.
Saldırı Nasıl Çalışır?
Son iki ayda Sucuri araştırmacıları, yeniden yönlendirilen trafikle bağlantılı 75’in üzerinde sözde kısa URL alanı belirledi. Hemen hemen tüm kötü amaçlı URL’lerin aynı adrese ait göründüğüne dikkat edilmelidir. URL kısaltma hizmeti. Hatta bazıları, Bitly gibi popüler kısaltma hizmetlerinin adlarını bile taklit eder.
Ziyaretçiler, Question2Answer CMS’de geliştirilen bir dizi düşük kaliteli web sitesine yönlendirilir ve tartışma konuları çoğunlukla kripto para birimi veya kripto para birimi ile ilgilidir. blok zinciri.
Araştırmacılar, bir pompala ve boşalt, ICO dolandırıcılığında yeni kripto para birimlerinin reklamını yapmak için kasıtlı olabileceğine inanıyor. Ancak araştırmacılar, bu reklam sahtekarlığının temel amacının, AdSense Kimliği içeren sitelere yönelik trafiği inorganik bir şekilde artırmak olduğundan emindir. Google reklamları gelir elde etmek için görüntülenebilir.
Tespitten Nasıl Kurtulur?
Bu kötü amaçlı sitelerden bazıları, “wp-blog-header.php” içine gizlenmiş kod da ekler. Bu kod, kötü amaçlı yazılımın temizleme girişimlerinden kaçınmasını sağlamak için bir arka kapı görevi görür. Bunu, kendisini hedeflenen sunucu yeniden başlatılır başlatılmaz çalışan dosyalara yükleyerek gerçekleştirir.
“Ek kötü amaçlı yazılım enjeksiyonu wp-blog-header.php dosyasına yerleştirildiğinden, web sitesi her yüklendiğinde yürütülür ve web sitesine yeniden bulaşır. Bu, kötü amaçlı yazılımın tüm izleri giderilene kadar ortamın virüslü kalmasını sağlıyor.”
Kötü amaçlı yazılım, bir ziyaretçi yönetici olarak oturum açtığında veya virüslü bir siteyi 2 ila 6 saat içinde ziyaret ettiğinde yeniden yönlendirmeleri askıya alarak varlığını gizler. Kötü amaçlı kod, Base64 kodlaması kullanılarak gizlenir.
URL Kısaltıcılar Saldırıda Nasıl Suistimal Edildi?
Kullanıcı tarayıcısına herhangi bir alan adı girdiğinde, Cuttly veya Bitly gibi gerçek bir URL kısaltma hizmetine yönlendirilir, ancak bunlar orijinal genel URL kısaltıcıları değildir. Her alan adının, ziyaretçileri AdSense’ten para kazanma özelliğine sahip, spam içerikli Soru-Cevap sitelerine yönlendiren, çalışan birkaç URL’si vardır.
İçinde Blog yazısıSucuri araştırmacısı Ben Martin, “arka kapılar, uzak bir etki alanı filestacklive’den ek mermiler ve bir Leaf PHP mailer komut dosyası indirir ve bunları wp-includes, wp-admin ve wp-content dizinlerindeki rastgele adlara sahip dosyalara yerleştirir.”
Kampanya Eylül 2022’den beri aktif ve web sitesi enfeksiyonlarındaki son artış Ocak 2023’te kaydedildi.
“Bu noktada, bu açılış sayfalarında kötü niyetli davranışlar fark etmedik. Bununla birlikte, herhangi bir zamanda, site operatörleri keyfi olarak kötü amaçlı yazılım ekleyebilir veya trafiği diğer üçüncü taraf web sitelerine yönlendirmeye başlayabilir” dedi.
ALAKALI HABERLER
- Kimlik avını yaymak için Google Dokümanlar istismarı bağlantılar
- Google, Microsoft ve Oracle çoğu kusuru üretti
- Kötü amaçlı yazılım bulaşmış Minecraft mod paketleri Play Store’u vurdu
- Reklam engelleyici uzantısı, Google aramalarına reklam enjekte etti
- Fake Brave tarayıcı sitesi, kötü amaçlı yazılımı Google Ads’den kaldırır