Sucuri’deki siber güvenlik araştırmacıları, geçtiğimiz aylarda binlerce web sitesine sızmayı başaran kritik bir arka kapı keşfetti.
“Siyah şapka yönlendirmesi” adı verilen bir kötü amaçlı yazılım kampanyasından sorumlu olan bir grup tehdit aktörü, URL kısaltma hizmetlerini taklit eden 70’ten fazla sahte etki alanını bünyesine katarak operasyonlarının kapsamını genişletti.
Saldırganlar, bu kötü amaçlı yazılımı önemli sayıda web sitesine bulaştırmayı başardılar ve mevcut sayı 10.890’ı geçti.
Ziyaretçiler Hacklenmiş Sitelere Yönlendiriliyor
Operasyonun birincil amacı, AdSense kimlikleri ve Google reklamları içeren web sayfalarına yönelik trafik hacmini yapay olarak artırmak için yasa dışı tekniklerin kullanılmasını içeren reklam sahtekarlığı olmaya devam ediyor. Bu faaliyet, hileli yollarla gelir elde etmek amacıyla gerçekleştirilir.
Son zamanlarda, Google Ads, Google Home ve Google Drive gibi çeşitli Google ürünleri, kötü amaçlı yazılımları ve diğer zararlı bileşenleri yaymak için kullanılmıştır. Bu, gerçek bir olay olarak onaylandı ve bu ürünlerin güvenliği ve emniyeti hakkında endişelere yol açtı.
GoDaddy’nin yan kuruluşu, kötü niyetli etkinliği ilk olarak Kasım 2022’de, şirketin GoDaddy şirketi tarafından satın alınmasının ardından ortaya çıkardı.
Bu kampanya geçen yıl Eylül ayında başladı ve ziyaretçileri güvenliği ihlal edilmiş WordPress sitelerine sahte soru-cevap portallarına yönlendiriyor. Bu, hassas bilgileri bilmeden ifşa edebilecek kişilerin güvenliğine ve mahremiyetine yönelik potansiyel bir tehdittir.
Görünüşe göre bu, spam sitelerin arama motorlarındaki otoritesini artırarak arama sonuçlarında daha üst sıralarda görünmelerini amaçlıyor.
Önceki kötü amaçlı yazılım saldırısına benzer şekilde, en son kötü amaçlı yazılım dalgasının da internet trafiğini Google aramaları üzerinden yönlendirmeye çalıştığı gözlemlendi. Saldırganlar bunu yaparak yönlendirilen trafiği yasal hale getirmeyi amaçlar.
URL Kısaltıcıları Kötüye Kullanmak
Sucuri, virüs bulaşmış tüm web sitelerinin WordPress içerik yönetim sistemini kullandığını tespit etti. Bunun bir sonucu olarak, web sitelerindeki meşru dosyalar gizlenmiş bir PHP betiği ile bozulmuştur.
Son kampanya, onu önceki kampanyalardan ayıran önemli bir özelliğe sahiptir. Yönlendirmelerinde Bing arama sonuç linklerini, Twitter’ın link kısaltma servisini ve Google’ı da kullanır.
Kampanyanın bu hizmetleri kullanması, güvenlik önlemleriyle tespit edilmekten kaçınmak için stratejik bir hamle olduğunu gösteriyor. Bu, tehdit aktörünün ayak izinin genişlediğini gösterir.
Saldırı Analizi
Sucuri araştırmacıları yakın zamanda yeniden yönlendirilen trafikle ilişkili 75’ten fazla sözde kısa URL alanı keşfetti. Bu keşif son iki ay içinde yapıldı.
Bulunan kötü amaçlı URL’lerin çoğunun tek bir URL kısaltma hizmetine bağlı olduğunu vurgulamak önemlidir. Tüm düşük kaliteli Question2Answer web siteleri tamamen kripto para birimi veya blockchain teknolojisi ile ilgilidir.
Bu reklamların, yeni kripto para birimlerinin tanıtıldığı kasıtlı bir pompala ve boşalt ICO dolandırıcılığının parçası olabileceği öne sürüldü.
Kesin kanıt olmamasına rağmen araştırmacılar, reklam dolandırıcılığının temel amacının, Google reklamlarını göstermek ve AdSense Kimliği aracılığıyla gelir elde etmek için web sitesi trafiğini yapay olarak artırmak olduğundan emindir.
Bu kötü amaçlı web sitelerinin, wp-blog-header.php gibi kritik dosyalara gizlenmiş kod enjekte ettiği bilinmektedir. Bu kod, etkilenen web sitesinin davranışını manipüle ederek ve potansiyel olarak kullanıcılarının güvenliğini tehlikeye atarak zarar verebilir.
Kötü amaçlı yazılımın algılanmamasını ve temizlenmemesini sağlamak için bu kod bir arka kapı görevi görür. Kötü amaçlı yazılım, kendini gizleme çabasıyla, bir yönetici oturum açtığında veya bir kullanıcı virüslü bir siteyi her ziyaret ettiğinde yeniden yönlendirmeleri 2 ila 6 saatlik bir süre boyunca duraklatma stratejisini benimser.
Bu, web sitesi yöneticilerinin kötü amaçlı yazılımın varlığını tespit etmesini zorlaştırır, çünkü bu tür durumlarda etkinliği geçici olarak askıya alınır. Zararlı kodu gizlemek için Base64 kodlaması kullanılır.
Kullanılan AdSense Kimlikleri
Aşağıda, virüslü web sitelerinde kullanılan tüm AdSense Kimliklerinden bahsetmiştik:-
- içinde[.]hamafedpo[.]com: ca-pub-8594790428066018
- artı[.]cr-helal[.]com: ca-pub-3135644639015474
- eşdeğer[.]yomeat[.]com: ca-pub-4083281510971702
- haberler[.]istişrat[.]com: ca-pub-6439952037681188
- içinde[.]ilk gol[.]com: ca-pub-5119020707824427
- ust[.]aly2um[.]com: ca-pub-8128055623790566
- BTC[.]En son makaleler[.]com: ca-pub-4205231472305856
- sormak[.]elbwaba[.]com: ca-pub-1124263613222640, ca-pub-1440562457773158
Azaltma
Aşağıda, uzmanlar tarafından web sitesi sahiplerine önerilen tüm azaltıcı önlemlerden bahsetmiştik:-
- Tüm yazılımların en son sürüme güncellendiğinden ve yama uygulandığından emin olun.
- WordPress web sitenizin yönetici alanının 2FA güvenliğine veya diğer erişim kısıtlamalarına sahip olduğundan emin olun.
- Tüm panel ve veritabanı şifrelerini anında değiştirin.
- Çeşitli varyasyonları olan güçlü ve benzersiz parolalar kullandığınızdan emin olun.
- Web sitenizi bir güvenlik duvarının arkasına yerleştirerek saldırılara karşı koruyun.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin