Saldırganlar, yama yapılmamış bir Popup Builder güvenlik açığından (CVE-2023-6000) yararlanarak güvenlik açığı bulunan web sitelerinin “Özel JS veya CSS” bölümlerine kötü amaçlı kod enjekte eder.
Kod, kullanıcıları kimlik avı sitelerine yönlendiriyor veya daha fazla kötü amaçlı yazılım bulaştırıyor ve kampanya halihazırda 3300'den fazla web sitesine bulaştı.
Kötü amaçlı kod, açılır pencere davranışını değiştirmek için açılır pencere olaylarını (açılma ve kapanma) hedefler. Bazen saldırganlar iletişim formlarını (potansiyel olarak “iletişim formu-7”) kötü amaçlı bir URL'ye yönlendirir. Güvenlik tarayıcıları bu enjeksiyonları tanımlayabilir.
Sucuri'ye göre, saldırıyı azaltmak için Popup Builder'ı 4.2.7 sürümüne yayın; web uygulaması güvenlik duvarları ise geçici koruma sağlar.
Kötü amaçlı kodu kaldırdıktan sonra, arka kapıları tespit edip kaldırmak için web sitesini iyice tarayın.
Tanıdık olmayan yönetici hesaplarını ortadan kaldırın ve en önemlisi benzer saldırıları önlemek için tüm web sitesi yazılımlarını güncel tutun.
Kötü Amaçlı Kod Tespit Göstergeleri
Saldırganlar, WordPress yönetici arayüzünün Özel JS veya CSS bölümlerine gizlenen ve veritabanında saklanan kötü amaçlı kodları enjekte etmek için Popup Builder WordPress eklentisindeki bir güvenlik açığını kullandı.
“Bu enjeksiyonlar, aşağıdakiler gibi çeşitli Popup Builder etkinlikleri için işleyici görevi görüyor sgpb-Açık Olmalı, sgpb-Kapanmalı, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose. Olaylar, meşru sitenin açılır pencere görüntüleme sürecinin farklı aşamalarında gerçekleşiyor.”
Virüslü web sitelerinin veritabanında bulunabilen kötü amaçlı kodun iki çeşidi şunlardır:
Enjekte edilen kod, bir açılır pencerenin yaşam döngüsü boyunca tetiklenen açma, kapatma ve görünürlük değişiklikleri gibi olayları hedefler. Bu olaylar (sgpb-ShouldOpen, sgpb-WillOpen, vb.) saldırganların açılır pencerenin davranışını değiştirmesine olanak tanır.
Bazı durumlarda saldırganlar (muhtemelen “contact-form-7” ile oluşturulmuş) iletişim formlarını kötü amaçlı bir URL'ye (“hxxp://ttincoming.traveltraffic) yönlendirir[.]cc/?trafik”). SiteCheck gibi güvenlik tarayıcıları bu enjeksiyonları “kötü amaçlı yazılım?pbuilder_injection.1.x” olarak tanımlar.
Azaltma Adımları ve Kötü Amaçlı Yazılımların Kaldırılması
Yeni bir kötü amaçlı yazılım kampanyası, bilinen bir XSS güvenlik açığından (CVE-2023-6000) yararlanarak güncel olmayan Popup Builder eklentilerini (4.2.3'ün altındaki sürümler) hedef alıyor.
Kötü amaçlı yazılım, eklentinin “Özel JS veya CSS” bölümüne kötü amaçlı kod enjekte eder. Bu kod, ziyaretçileri kimlik avı sitelerine yönlendirebilir veya daha fazla kötü amaçlı yazılım bulaştırabilir.
Eklentiyi 4.2.7 veya sonraki bir sürüme yamalamak çok önemlidir. Web uygulaması güvenlik duvarları da geçici koruma sağlayabilir. Kötü amaçlı kodu “Özel JS veya CSS” bölümünden kaldırdıktan sonra, kötü amaçlı yazılımın oluşturduğu arka kapıları belirlemek ve kaldırmak için kapsamlı bir web sitesi taraması yapılması gerekir.
Ek olarak, web sitesi yöneticileri yabancı hesapları ortadan kaldırmalıdır. Son olarak, tüm web sitesi yazılımlarının en son güvenlik yamalarıyla güncellenmesi, benzer saldırıların önlenmesi açısından çok önemlidir.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.