Siber güvenlik araştırmacıları, kullanıcıları kabataslak sitelere yönlendirmek için tasarlanmış kötü amaçlı JavaScript enjeksiyonları yapmak için WordPress sitelerini hedefleyen hain bir kampanyaya dikkat çekiyorlar.
Sucuri araştırmacısı Puja Srivastava, geçen hafta yayınlanan bir analizde, “Site ziyaretçileri sahte bulutflare doğrulaması gibi kötü amaçlı yazılımlar enjekte edilmiş içerik alıyor.” Dedi.
Web sitesi güvenlik şirketi, müşterinin WordPress sitelerinden birinin site ziyaretçilerine şüpheli üçüncü taraf JavaScript sunduktan sonra soruşturmaya başladığını ve nihayetinde saldırganların tema ile ilgili bir dosyaya (“functions.php”) kötü niyetli değişiklikler yaptığını buldu.
“Functions.php” olarak eklenen kod, muhtemelen algılamadan kaçınmak amacıyla Google reklamlarına referanslar içerir. Ancak, gerçekte, “brazilc” etki alanına bir HTTP yayın isteği göndererek bir uzak yükleyici olarak işlev görür.[.]com, “bu da iki bileşen içeren dinamik bir yükle yanıt verir –
- Uzak bir sunucuda barındırılan bir JavaScript dosyası (“Porsasystem[.]Com “), yazma itibariyle 17 web sitesinde atıfta bulunuldu ve site yönlendirmelerini gerçekleştirmek için kod içeriyor
- İçinde “CDN-CGI/Challenge-Platform/Scripts/JSD/Main.js” gibi meşru bulutflare varlıklarını taklit eden gizli, 1×1 piksel iframe oluşturan bir JavaScript kodu parçası-bot algılama ve meydan okuma platformunun temel bir parçası olan bir API
“Porsasystem” alanının[.]com “Kongtuke (AKA 404 TDS, Chaya_002, Landupdate808 ve TAG-124) adı verilen bir trafik dağıtım sisteminin (TDS) bir parçası olarak işaretlenmiştir.
19 Eylül 2025’te Mastodon’da “Monitorsg” adlı bir hesap tarafından paylaşılan bilgilere göre, enfeksiyon zinciri kullanıcıların tehlikeye atılmış bir siteyi ziyaret etmesiyle başlar ve “Porsasystem” in yürütülmesine neden olur[.]com/6m9x.js, “bu da” Porsasystem “[.]com/js.php “sonunda kurbanları kötü amaçlı yazılım dağıtım için ClickFix tarzı sayfalara götürmek için.
Bulgular, WordPress sitelerinin güvence altına alınması ve eklentilerin, temaların ve web sitesi yazılımlarının güncel tutulmasını, güçlü şifreleri uygulayarak, kötü amaçlı yazılım algılandıktan ve kaldırıldıktan sonra bile kalıcı erişimi sürdürmek için oluşturulan anormallikler ve beklenmedik yönetici hesaplarının taranmasını sağlamak.
IUAM ClickFix Jenerator’u kullanarak ClickFix sayfaları oluşturun
Açıklama, Palo Alto Networks Unit 42, saldırganların ClickFix sosyal mühendislik tekniğinden yararlanarak kullanıcıları kötü amaçlı yazılımlarla enfekte etmelerini sağlayan ve otomatik trafiği engellemek için sıklıkla kullanılan tarayıcı doğrulama zorluklarını taklit ederek kullanıcıları kötü amaçlı yazılımlarla enfekte etmelerini sağlayan bir kimlik avı seti ayrıntılı olarak gelir.
Güvenlik araştırmacısı Amer El Elsad, “Bu araç, tehdit aktörlerinin, içerik dağıtım ağları (CDN’ler) ve bulut güvenlik sağlayıcılarının otomatik tehditlere karşı savunması için yaygın olarak konuşlandırılan bir tarayıcı doğrulama sayfasının zorluk-yanıt davranışını taklit eden son derece özelleştirilebilir kimlik avı sayfaları oluşturmasına izin veriyor.” Dedi. “Sahtekar arayüz kurbanlar için meşru görünecek şekilde tasarlandı ve cazibenin etkinliğini artırdı.”
Ismarlama kimlik avı sayfaları ayrıca, enfeksiyon dizisini uyarlamak ve uyumlu kötü amaçlı yazılımlara hizmet etmek için kullanılan işletim sistemini algılamak ve aynı zamanda panoyu manipüle etme yetenekleri ile birlikte gelir.
En az iki farklı durumda, tehdit aktörleri, ikincisi Apple macOS sistemlerini hedeflemek için tasarlanmış Deersteer ve Odyssey Stealer gibi bilgi stealer’ları dağıtmak için Kit kullanılarak oluşturulan sayfalar kullanılarak tespit edildi.
IUAM ClickFix jeneratörünün ortaya çıkışı, Microsoft’un 2024’ün sonlarından bu yana yeraltı forumlarındaki ticari ClickFix inşaatçılarındaki bir artışla ilgili önceki bir uyarıya katkıda bulunur. Teklifi entegre eden bir kimlik avı kitinin bir başka önemli örneği darbe çözümleridir.
“Kitler, CloudFlare dahil olmak üzere çeşitli mevcut yemlerle açılış sayfalarının oluşturulmasını sunuyor,” Microsoft Ağustos 2025’te geri döndü.
Bu araçların siber suçlulara giriş önündeki engelleri daha da düşürdüğünü ve çok fazla çaba veya teknik uzmanlık olmadan sofistike, çok platformlu saldırıları ölçeklendirmelerini sağladığını söylemeye gerek yok.
ClickFix önbellek kaçakçılığı ile gizli hale gelir
Bulgular ayrıca, hedef ana bilgisayarda herhangi bir kötü amaçlı dosyayı açıkça indirmek yerine, radarın altında uçmak için önbellek kaçakçılığı olarak adlandırılan sinsi bir teknik kullanarak ClickFix saldırı formülünde yenilik yapan yeni bir kampanyanın keşfini takip ediyor.
Ana tehdit araştırmacısı Marcus Hutchins, “Bu kampanya, kötü amaçlı komut dosyasının herhangi bir dosya indirmemesi veya İnternet ile iletişim kurmaması nedeniyle önceki ClickFix varyantlarından farklı.” Dedi. “Bu, keyfi verileri kullanıcının makinesine önceden boşaltmak için tarayıcının önbelleğini kullanılarak elde edilir.”
Siber güvenlik şirketi tarafından belgelenen saldırıda, ClickFix temalı sayfa, Fortinet VPN uyumluluk denetleyicisi olarak maskelenir, kullanıcıları Windows Dosyası Gezgini’ni başlatmaya ve yükün yürütülmesini tetiklemek için adres çubuğuna kötü niyetli bir komut yapıştırmak için dosya taktiklerini kullanarak.
Görünmez komut, conhost.exe aracılığıyla bir PowerShell komut dosyasını çalıştırmak için tasarlanmıştır. Komut dosyasını birbirinden ayıran şey, herhangi bir ek kötü amaçlı yazılım indirmemesi veya saldırgan kontrollü bir sunucu ile iletişim kurmamasıdır. Bunun yerine, bir JPEG görüntüsü olarak geçen ve kullanıcı kimlik avı sayfasına indiğinde tarayıcı tarafından önbelleğe alınan gizlenmiş bir yükü yürütür.
Hutchins, “Ne web sayfası ne de PowerShell betiği herhangi bir dosyayı açıkça indirmiyor.” “Tarayıcının sahte ‘resme önbelleğe alınmasına izin vererek, kötü amaçlı yazılım, PowerShell komutu herhangi bir web isteği yapması gerekmeden yerel sisteme tüm bir zip dosyasını alabilir.”
“Bu tekniğin sonuçları, önbellek kaçakçılığı, aksi takdirde indirildiklerinde ve yürütüldükçe kötü niyetli dosyaları yakalayacak korumalardan kaçınmanın bir yolunu sunabileceğinden, içeriğinin çıkarılması ve daha sonra bir ClickFix komutunda gizli bir güç komutu aracılığıyla çalıştırılması için indirilir.”