WordFence Tehdit İstihbarat Ekibi, rutin bir site temizliği sırasında sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardı ve WordPress ve WooCommerce platformlarını hedefleyen kötü amaçlı bir kod ailesini ortaya koydu.
Tehdit istihbarat platformlarına göre Eylül 2023’e kadar uzanan bu kampanya, 20’den fazla farklı örnekle dinamik ve gelişen bir çerçeve sergiliyor.
Gelişmiş kötü amaçlı yazılım çerçevesi
Kötü amaçlı yazılım varyantları öncelikle kredi kartı sıyırma ve kimlik bilgisi hırsızlığına odaklanır, ancak kötü amaçlı reklam manipülasyonu ve daha fazla yük dağıtımı gibi çeşitli işlevlere sahiptir.
.png
)
Bu işlemi birbirinden ayıran yeni bir yaklaşımdır: bazı varyantlar, canlı bir arka uç sistemini doğrudan enfekte olmuş web sitelerine yerleştirir, Rogue WordPress eklentileri olarak gizlenir, saldırganlara çalınan verileri yönetmek ve site işlemlerini manipüle etmek için özel bir arayüz sağlar.
Bu kötü amaçlı yazılım ailesi, geliştirici araçları algılama, konsol yeniden oluşturma ve tarayıcı sekmelerini dondurabilen veya hata ayıklama işlemlerini durdurabilen hata ayıklayıcı tuzaklar dahil olmak üzere algılamadan kaçınmak için gelişmiş gizleme teknikleri ve anti-analiz mekanizmaları kullanır.
Pencere boyutları (dış genişlik/iç genişlik) arasındaki farklılıkları izleyerek, kötü amaçlı yazılım geliştirici araçlarının etkin olup olmadığını ve davranışını buna göre değiştirip değiştirmediğini tanımlar.
Teknik incelikler
Ayrıca F12 ve CTRL+Shift+I gibi tarayıcı kısayollarını devre dışı bırakırken, bazı varyantlar ters mühendisliği engellemek için sonsuz döngüler kullanır.
Hedefleme son derece seçicidir, ödeme sayfalarına odaklanır ve yönetici panelleri çerez tabanlı kontroller aracılığıyla kaçınarak site yöneticilerine minimum görünürlük sağlar.
Veri eksfiltrasyonu, Base64’te kodlanan, özel şemalarla eklenen ve sahte görüntü URL’leri aracılığıyla saldırgan kontrollü sunuculara iletilen çalıntı ödeme ve faturalandırma bilgileri ile eşit derecede kurnazdır.
Yoklamanın ötesinde, bazı örnekler sahtekarlık için Google reklamlarını manipüle eder, WordPress oturum açma kimlik bilgilerini çalar veya meşru bağlantıları kötü niyetli olanlarla değiştirir ve çerçevenin çok yönlülüğünü gösterir.
Göze çarpan bir özellik, kullanıcıları aldatmak ve botları filtre etmek için tasarlanmış çok dilli destek, animasyonlar ve karanlık mod CSS ile tamamlanan Cloudflare markasını taklit eden sahte bir insan doğrulama zorluğudur.
Ayrıca, bazı varyantlar telgraf kanallarını gerçek zamanlı veri açığa vurma için entegre eder ve oturumlar arasında kalıcılık için lokalStorage kullanır.
Yanıltıcı bir şekilde “WordPress Core” olarak adlandırılan bir Rogue WordPress eklentisinin kullanımı, önemli bir yükseltme işaret eder ve özel posta türleri aracılığıyla çalınan verileri yönetmek için sunucu tarafı PHP komut dosyalarını yerleştirir ve Sipariş Durumlarını dolandırıcılık algılamasını geciktirmek için “tamamlandı” olarak değiştirir.
Bu kampanyanın karmaşıklığı, gelişen kod tabanı ve AI tarafından üretilen eklenti iskelesi ile Web ekosistemine kalıcı bir tehdidin altını çiziyor.
WordFence, 17 Mayıs ve 15 Haziran 2025 tarihleri arasında, ücretsiz kullanıcılar için 30 günlük bir gecikme ile premium, bakım ve yanıt müşterilerine hemen sunulan algılama imzalarını yayınlayarak yanıt verdi.
CLI tarayıcısı ve eklentileri, bilinen örneklerin% 99’undan fazlasını tespit ederek derinlemesine bir savunma yaklaşımını güçlendirir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Alanlar | Reklamcılık-cdn.com, API-Service-188910982.website, blastergallery.com, chaolingtech.com, contentsdeliverystat.com, graficcloudcontent.com, imoJiseelect.info, graphiccloudcontent.com, imageresizefix.com.nettor.neting.neting, impifytext.com, internetmorservice.com, impifytext.com, internetmorservice.com, impifytext.com, vektörizegraphic.com |
| Ateş telgrafı | api.telegram.org/bot7468776395[…]chat_id = -4672047987 |
| Google Reklamlar İstemci Kimliği | CA-PUB-9514222065914327 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin