Araştırmacılar yakın zamanda, masum site ziyaretçilerinin tarayıcılarını kullanarak hedef WordPress web sitelerine yönelik dağıtılmış kaba kuvvet saldırılarını ortaya çıkardı.
Web3'ü ve kripto para birimi varlıklarını hedef alan web sitesi hacklemelerinde yakın zamanda bir artış iki hafta önce fark edildi.
Çeşitli kampanyalara yayılan bu kötü amaçlı yazılım, kripto para birimi emicilerin kullanımıyla ele geçirilen cüzdanlardan varlıkları çalıyor ve bunları yeniden dağıtıyor.
Sucuri araştırmacılarına göre en dikkate değer varyasyon, süzgeçleri enjekte etmek için harici cachingjs/turboturbo.js komut dosyasını kullanıyor.
turboturbo.js scriptinin alan adı 20 Şubat 2024'te değiştirildi; önceden dinamik bağlantılardı[.]cfd/cachingjs/turboturbo.js, ancak şu anda dinamik bağlantı[.]haha/cachingjs/turboturbo.js.
“Bu yeni dalga, yeni dinamik bağlantının kurulduğu gün başladı.[.]Araştırmacılar, lol alan adının 93.123.39.199” IP ile kaydedildiğini ve sunucuda barındırıldığını söyledi.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
WordPress Sitelerine Dağıtılmış Kaba Kuvvet Saldırıları
Saldırganlar ikinci bir dinamik bağlantı oluşturdu[.]com alan adını 23 Şubat 2024'te satın aldınız (aynı zamanda 93.123.39.199 ve 94.156.8.251'de de barındırılıyor).
25 Şubat'a kadar araştırmacılar, Dynamic-linx'i kullanarak enjeksiyonları tespit edebildiler.[.]com/chx.js betiği.
Ancak bu yeni komut dosyası çok farklı çünkü bir kripto süzücü yüklemiyor. Araştırmacılar, Web3 ile kripto para birimleri ve betiğin içeriği arasında herhangi bir bağlantı olmadığını söylüyor.
Bu son saldırının beş ana aşaması, kötü niyetli bir aktörün, hedef haline gelebilecek binlerce ek siteye karşı dağıtılmış kaba kuvvet saldırıları gerçekleştirmek için halihazırda sızılmış web sitelerini kullanmasına olanak tanır.
- WordPress sitelerinin URL’lerini edinin
- Yazar kullanıcı adlarını çıkarın
- Kötü amaçlı komut dosyalarını enjekte etme
- Kaba kuvvet kimlik bilgileri
- Güvenliği ihlal edilmiş kimlik bilgilerini doğrulayın
Cyber Security News ile paylaşılan bilgiye göre kullanıcının tarayıcısı tarafından hxxps://dynamic-linx adresinden bir görev talep ediliyor.[.]Virüs bulaşmış bir web sayfasına eriştiklerinde com/getTask.php URL'sini kullanıyorlar.
Bir görev bulunduğunda veriler, hedef web sitesinin URL'sini, operasyonel kullanıcı adını ve denenecek 100 şifreden oluşan bir listeyi çıkarmak için işlenir.
Ziyaretçinin tarayıcısı, listedeki her parola için bu özel isteğin kimliğini doğrulamak amacıyla kullanılan şifrelenmiş kimlik bilgilerine sahip bir dosya yüklemek üzere wp.uploadFile XML-RPC API çağrılarını gönderir.
Her görev 100 API isteği gerektirir! Kimlik doğrulama başarılı olursa, WordPress yükleme dizininde meşru kimlik bilgilerini içeren kısa bir metin dosyası oluşturulur.
Betik, işi belirli bir görev kimliğiyle bilgilendirir ve tüm şifreler kontrol edildikten sonra kontrol kimliği tamamlanır.
Sonunda, komut dosyası bir sonraki görevi alır ve ek bir kimlik bilgileri kümesini işler. Ve bu, tehlikeye atılan sayfa açık olduğu sürece sonsuzdur.
Azaltma
“Büyük olasılıkla onlar (saldırganlar), kendi enfeksiyon ölçeklerinde (~1000 güvenliği ihlal edilmiş site) kripto emicilerin henüz çok karlı olmadığını fark ettiler.
Üstelik çok fazla dikkat çekiyorlar ve alanları oldukça hızlı bir şekilde engelleniyor” dedi araştırmacılar.
Bu saldırı bize güçlü şifreler oluşturmanın önemini hatırlattı.
Ayrıca xmlrpc.php dosyasına ve WordPress yönetici arayüzüne erişimi yalnızca güvenilir IP adresleriyle sınırlamayı da düşünebilirsiniz.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.