Araştırmacılar, kötü amaçlı WordPress eklentileri aracılığıyla dağıtılan ClickFix sahte tarayıcı güncelleme kötü amaçlı yazılımının yeni bir versiyonunu belirlediler.
Meşru araç görünümüne bürünen bu eklentiler, ele geçirilen web sitelerine kötü amaçlı JavaScript kodları enjekte ederek kullanıcıları kötü amaçlı yazılım yüklemeye yönlendiriyor.
Kötü amaçlı yazılım, kurbanları kandırmak için sosyal mühendislik taktiklerinden yararlanarak kötü amaçlı yükler elde etmek için blockchain teknolojisini kullanıyor.
Dünya çapında 6.000’den fazla web sitesi, “Gelişmiş Kullanıcı Yöneticisi” ve “Hızlı Önbellek Temizleyici” gibi sahte eklentiler aracılığıyla kötü amaçlı yazılım yayan bu yeni varyanttan etkilendi.
Bu eklentilerin arkasındaki kötü niyetli aktörler, sahte meta verilerle görünüşte meşru birçok eklenti oluşturmak için otomasyondan yararlanıyor. Bu eklentiler, wp_enqueue_scripts işlevini kullanarak WordPress sayfalarına kötü amaçlı komut dosyaları enjekte eder.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Aktörler ayrıca diğer wp_head eylemlerini devre dışı bırakan yedek bir wp_head kancası da ekler, ancak bu pratik bir amaca hizmet etmez.
İlginç bir şekilde, sahte eklenti dizinlerinde bulunan .DS_Store dosyaları aynıdır ve potansiyel olarak tespit amacıyla Tehlike Göstergeleri (IoC’ler) olarak kullanılabilir.
Saldırganlar, çeşitli eklentilere aynı hash değerlerine sahip kötü amaçlı komut dosyaları enjekte etti; bu komut dosyaları bir Ethereum kütüphanesini yükledi ve Binance Smart Chain üzerindeki akıllı bir sözleşmeyle etkileşime girdi.
Ziyaretçilere, tarayıcı bilgilerine göre Tarayıcı Güncelleme açılır pencereleri.
Güvenliği ihlal edilmiş bazı siteler artık görünüşte zararsız, boş komut dosyalarına sahip ve yakın zamanda değiştirilme tarihlerine sahip, bu da saldırganların kısmi bir temizleme girişiminde bulunduğunu gösteriyor.
Saldırganlar, Haziran 2024’te 6.000’den fazla WordPress sitesine kötü amaçlı JavaScript enjekte eden bir ClickFix kampanyası başlattı. Bu kampanya, ya mevcut eklentilerin tehlikeye atılmasıyla ya da popüler eklentiler gibi görünen sahte eklentilerin dağıtılmasıyla başarıldı.
Genellikle adlarına “Klasik” eklenmiş olan bu sahte eklentiler, yüksek öncelikli “wp_head” kancasını kullanarak betiği enjekte eden tek bir dosya içeriyordu.
Saldırganlar ayrıca yüklerini barındırmak için tek kullanımlık Github ve BitBucket depolarını kullanmaya başladı, bu da tespit ve kaldırmayı daha da zorlaştırdı.
Saldırı, bir tehdit aktörünün çalıntı WordPress yönetici kimlik bilgilerini kullanarak gerçekleştirdiği bir dizi otomatik eylemi içeriyordu.
Aktör, savunmasız bir web sitesine giriş yaptı ve hemen kötü amaçlı bir eklenti yükledi; bu eklenti etkinleştirildi ve daha sonra sahte tarayıcı güncellemelerini dağıtmak için kullanıldı.
Saldırı son derece etkiliydi ve her oturum yalnızca birkaç dakika sürdü. Saldırganlar muhtemelen kaba kuvvet saldırıları, kimlik avı kampanyaları veya web sitesi sahiplerinin bilgisayarlarındaki kötü amaçlı yazılımlardan yararlanarak WordPress yönetici kimlik bilgilerini elde etti.
Daha sonra bu kimlik bilgilerini web sitelerine kötü amaçlı eklentiler yüklemek için kullandılar.
GoDaddy’ye göre meşru kimlik bilgilerinin kötü amaçlarla kullanılması, FTP kimlik bilgilerinin çalındığı ve web sitelerini tehlikeye atmak için kullanıldığı geçmiş saldırılara benziyor.
Sahte eklentiler, virüs bulaşmış bilgisayarlardan oluşan bir botnet’ten yüklenmiş olabilir ve saldırganların gerçek kökenini gizlemek için proxy görevi görüyor olabilir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!