Son zamanlarda, Sucuri’nin siber güvenlik araştırmacıları, tehdit aktörlerinin çok büyük bir siyah şapka arama motoru optimizasyonu (SEO) kampanyası yürüttüğünü keşfetti.
Ancak, yaklaşık 15.000 web sitesi, bu kampanyada ziyaretçileri sahte Soru-Cevap tartışma forumlarına katılmaya yönlendirdi. Eylül ve Ekim ayları boyunca Sucuri’nin SiteCheck tarayıcısı, diğer sitelere 2.500’den fazla yönlendirme tespit etti.
Sadece bu da değil, uzmanlar güvenliği ihlal edilmiş her sitenin yaklaşık 20.000 dosya içerdiğini de belirtti. Tüm bu dosyalar, tehdit aktörleri tarafından yürütülen kötü niyetli kampanyanın bir parçası olarak kullanılıyordu ve sitelerin çoğu WordPress’ti.
kötü niyetli[.]Yönlendirmeler
Secure raporuna göre, uzmanlar kötü amaçlı yazılımı tespit ettikten sonra kısa bir anket yaptı ve web sitesinin bazı kötü amaçlı yazılım bulaşmalarının kendilerini genellikle daha az sayıda dosyayla sınırladığını buldu.
Sadece bu değil, aynı zamanda tespit edilmekten kaçınmak ve operasyonlarını düzgün bir şekilde yürütmek için ayak izlerini de sınırlandırırlar.
Bu kötü amaçlı yazılımın bulaştığı bir web sitesinde ortalama olarak 100’den fazla dosya bulaşmış olacaktır; Bu kötü amaçlı yazılımın diğerlerinden tamamen farklı olmasının nedeni budur.
Yaygın Virüslü Dosyalar
Bu kötü amaçlı yazılım, en yaygın olarak WordPress’in çekirdek dosyalarına bulaşırken bulunur ve ayrıca ilgisiz kötü amaçlı yazılım kampanyaları tarafından oluşturulan “.php” dosyalarına da bulaştığı bulunmuştur.
En yaygın olarak virüs bulaşan ilk 10 dosyanın listesi aşağıdadır: –
- ./wp-kayıt.php
- ./wp-cron.php
- ./wp-links-opml.php
- ./wp-settings.php
- ./wp-comments-post.php
- ./wp-mail.php
- ./xmlrpc.php
- ./wp-Activate.php
- ./wp-trackback.php
- ./wp-blog-header.php
Hedeflenen Etki Alanları
Bu kötü amaçlı kampanyada hedeflenen etki alanı aşağıda listelenmiştir:-
- tr.w4ksa[.]iletişim
- barış.yomeat[.]iletişim
- qa.bb7r[.]iletişim
- tr.ajeel[.]mağaza
- qa.istisharat[.]iletişim
- tr.photolovegirl[.]iletişim
- tr.poxnel[.]iletişim
- qa.tadalafilhot[.]iletişim
- sorular.rawafedpor[.]iletişim
- qa.elbwaba[.]iletişim
- sorular.ilk hedef[.]iletişim
- qa. cr-helal[.]iletişim
- qa.aly2um[.]iletişim
WordPress Sitelerini Hedefleme
Bilgisayar korsanları, aşağıdakiler gibi WordPress PHP dosyalarını değiştirerek sahte Soru-Cevap forumlarına yönlendirmeler enjekte ediyor: –
- wp-singup.php
- wp-cron.php
- wp-settings.php
- wp-mail.php
Hedeflerine ulaşmak için, saldırganlar genellikle kendi PHP dosyalarını hedef siteye bırakma tekniğini kullanırlar. Saldırganlar genellikle meşru görünen bir dosya adı kullanırken, örneğin:-
Bir WordPress sitesine bulaşan veya enjekte edilen kötü amaçlı bir dosya, ziyaretçinin WordPress’te oturum açıp açmadığını kontrol eden kötü amaçlı kod içerir. Giriş yapmışlarsa, onları hxxps://ois adresine yönlendirir.[.]is/images/logo.png URL’sidir.
Diğer URL’lerin aksine, bu URL, kullanıcıyı tanıtılan Soru-Cevap web sitesine yönlendirmek için tarayıcıya bir resim göndermeyecek, bunun yerine onları tanıtılan Soru-Cevap web sitesine bir Google arama tıklama etkinliğine yönlendiren JavaScript’i yükleyecektir.
Saldırganların spam sitelerini oluşturmak amacıyla kullandıkları spam siteleri, spam sitelerini içerikle doldurmak için diğer Soru-Cevap sitelerinden kazınmış çok sayıda rastgele soru ve yanıttan oluşur.
Hikayelerin çoğu, kripto para birimleri ve finansal temalar etrafında dönüyor ve bu da onları aynı kavramlara dayandırıyor.
Azaltma Yöntemleri
Tek bir eklenti güvenlik açığından yararlanan bu spam kampanyasıyla ilişkili görünen bariz bir istismar olmamıştır.
Saldırganların, yazılımın savunmasız olan herhangi bir yaygın bileşenindeki güvenlik açıklarını araştırmak için istismar kitlerini kullanması yaygın bir durumdur.
Ayrıca, ele geçirilen wp-admin yönetici panellerinin de web sitelerinin ele geçirilmesinin kaynağı olması muhtemeldir.
Bu bağlamda, güvenliğinizi sağlamak için wp-admin panelinizde 2FA veya başka bir tür erişim kısıtlaması kurmanız önemle tavsiye edilir.
Benzer web sitesi oluşturma şablonları kullandıklarından, tüm sitelerin aynı tehdit aktörüne ait olması muhtemeldir. Sadece bu da değil, hepsi otomatik araçlar tarafından oluşturulmuş gibi görünüyor, bu da onları büyük olasılıkla aynı bilgisayar korsanları grubunun oluşturduğunu gösteriyor.
Şimdiye kadar, tehdit aktörlerinin yönlendirmeler için kullanılan web sitelerini nasıl ihlal edebildiği henüz belli değil. Bu nedenle, web sitenizi saldırılardan korumak için bir güvenlik duvarının arkasına yerleştirebilirsiniz.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin