%20on%2051,000%20Websites.webp)
Unit 42’den araştırmacılar, yaygın bir zararlı JavaScript (JS) enjeksiyonu kampanyasını izliyorlar. Kampanya, masum kurbanları reklam yazılımları ve hileli sayfalar dahil olmak üzere tehlikeli içeriğe yönlendirmeyi amaçlıyor.
2022 boyunca aktif olduğu için web sitelerine 2023’te bu tehdit bulaşmaya devam ediyor. Kötü amaçlı JS kodu, Tranco’nun ilk 1 milyon sıralamadaki web sitelerinde birkaç yüz kişinin göründüğü 51.000’den fazla web sitesinde keşfedildi.
Tranco’da etkilenen web sitelerinin varlığı geniş bir erişime işaret ettiğinden, bu kampanyanın potansiyel etkisi önemlidir.
Kampanyanın karmaşıklığı, zararlı web sayfalarının yeniden yönlendirilmesinden önce gelen çok aşamalı enjeksiyon sürecinden kaynaklanmaktadır.
Kampanyanın kullanıcı üzerindeki etkisi
Uzmanlar, tehdit aktörleri tarafından web sitelerine kötü amaçlı JS kodu enjeksiyonu içeren bir kampanyanın birden çok sürümünü belirlediler. 2020 yılında kampanya ilk kez gözlemlendi.
2022’deki başlangıcından bu yana bu kampanyanın bir parçası olarak 170.000 URL ve 51.000 ana bilgisayar adı belirlendi.
Bu kampanya sonucunda Mayıs ve Ağustos 2022 arasında 4.000’den fazla günlük URL oluşturuldu.
Bu kampanyanın etkisi, Tranco’nun ilk bir milyon sıradaki sitesinde görünen yüzlerce virüslü web sitesiyle, internet kullanıcıları arasında potansiyel olarak geniş bir erişime işaret ederek önemli oldu.
Ocak 2023’te bu sitelere yönelik alınan engelleme tedbirleri nedeniyle 14.773 cihazda yaklaşık 240.000 web sitesi oturumu engellendi.
Teknik Analiz
Enjekte edilen JS kodunda, algılamayı atlamak ve algılanmadan kalması için gizlenen kötü amaçlı bir yük gizliydi. Gizlenmiş kod tarafından gizlenen bir URL’den kötü amaçlı bir JS yüklenir.
Kodun bir parçası olarak, kötü amaçlı JS, yine kodda yer alan DOM yapısına dinamik olarak eklenir.
Gözlemlere göre, belirli web sitelerinde, gizlenmiş JS parçacıklarının yaygın olarak kullanılan yardımcı program JS dosyalarına enjekte edildiği bulunmuştur. İyi huylu ekleme saldırısı olarak da adlandırılan, iyi huylu kodun kapsamlı bölümlerine kötü amaçlı kod eklemek, kötü amaçlı yazılım yazarlarının kullandığı yaygın bir taktiktir.
Güvenlik tarayıcıları tarafından algılanmaktan kaçınmak ve algılanmadan kalmak için kötü amaçlı yazılım yazarları tarafından kullanılabilir. Her JS kod parçacığında, enjekte edilen JS kodu, DOM manipülasyonu yoluyla harici kötü amaçlı JS kodunu ekler.
Kötü amaçlı bir yük bu şekilde değiştirilebilir ve saldırgana daha fazla esneklik sağlar. Daha yeni sürümünde, bu kampanya kötü niyetli amaçlar için bir web sitesine kötü amaçlı JS kodu enjekte eder.
Son yükü yürüttükten sonra, kullanıcılar, genellikle reklam yazılımı veya sahte bir sayfadan oluşan bir hedef web sayfasına ulaşmadan önce çeşitli web sitelerine yönlendirilir.
Bu sayfa, kötü amaçlı bir web sitesinin bir saldırganın kontrolü altında tarayıcı bildirimleri göndermesine izin vermeleri için kişileri kandırabilecek yanlış bilgiler görüntüler.
Unit 42’deki araştırmacılar, birçok web sitesinin bir veya daha fazla CMS eklentisindeki güvenlik açıkları nedeniyle güvenlik ihlallerine açık olduğuna inanıyor.
Sucuri’deki araştırmacılar, benzer bir kampanyada CMS eklentilerinden yararlanmak için tamamen aynı tekniğin kullanıldığını keşfettiler. Kötü amaçlı yazılım oluşturmaktan sorumlu olan tehdit aktörleri, bu kampanya sırasında web sitelerine enjekte ettikleri zararlı JavaScript kodunun birden çok varyasyonunu üretti.
Aynı saldırının farklı varyantlarını tespit etmek, genellikle izinsiz girişleri tespit etmek için kullanılan derin öğrenme tekniklerinin sağlam bir özelliğidir.
Kötü amaçlı JS enjeksiyonlarını önlemek için, tespit oranını artırmak için derin öğrenme teknikleri uygulanabilir.
API’lerinizi güvence altına almak için arama mı yapıyorsunuz? – Ücretsiz API Sızma Testini Deneyin