WordPress web sitelerini hedefleyen sofistike bir kötü amaçlı yazılım kampanyası, yakın zamanda ortaya çıktı ve Windows tabanlı bir Truva atı sunmak için karmaşık ve gizli bir yaklaşım sergiledi.
Görünüşte temiz web sitelerinin yüzeyinin altında çalışan bu saldırı, Client32.exe adlı kötü amaçlı bir yükü dağıtmak için PHP tabanlı damlalar, gizlenmiş kod ve IP tabanlı kaçırma taktiklerini içeren katmanlı bir enfeksiyon zinciri kullanır.
Gizli enfeksiyon zinciri
Keşif, kötü amaçlı yazılım dağıtımı için web platformlarından yararlanmadaki siber suçluların gelişen taktiklerini vurgulamaktadır.
Enfeksiyon, sırasıyla ana denetleyici ve idari arayüz olarak işlev gören iki merkezi PHP dosyası olan Header.php ve Man.php ile başlar.
Header.php komut dosyası, tekrarlanan enfeksiyonları önlemek için count.txt adlı bir dosyadaki ziyaretçileri, günlüğe kaydedilir ve dinamik olarak çok gizlenmiş bir Windows toplu dosyası, update.bat.
Sucuri raporuna göre, manipüle edilmiş HTTP başlıkları aracılığıyla indirme olarak zorlanan bu toplu senaryo, kurbanın sistemine çok aşamalı bir saldırı düzenliyor.
Çok aşamalı saldırı
İstemci32.exe Trojan’ı içeren kötü amaçlı bir fermuar arşivi olan PSPS.ZIP indirmek için PowerShell komutlarını kullanır, %AppData %’lık gizli bir dizine çıkarır ve yükü yürütür.
Ayrıca, komut dosyası, HKEY_CURrent_user Run tuşuna bir kayıt defteri girişi ekleyerek kalıcılığa neden olur ve Truva atının her sistem yeniden başlatılmasına izin verir.
İstemci32.exe ikili, uzaktan erişim Truva atı (sıçan) olarak tanımlanan, 443 numaralı bağlantı noktasında 5.252.178.123 numaralı telefondan bir komut ve kontrol (C2) sunucusuna gizli bir bağlantı kurar ve uzaktan kumanda ve potansiyel veri söndürmesini sağlar.
Yönetim dosyası Man.php, saldırganlara IP günlüğünü izlemek ve manipüle etmek, kayıtları gerektiği gibi sıfırlamak veya eklemek için Web tabanlı bir panel sağlar.
Bu kontrol düzeyi, kampanyanın IP kara listesi ve sessiz yürütme yoluyla gizli kaçan tespiti ile birleştiğinde, maruz kalmayı en aza indirirken enfeksiyon oranlarını en üst düzeye çıkarmak için hesaplanmış bir çaba göstermektedir.
PowerShell’in yük dağıtım ve çıkarma için kullanımı, saldırganlar kötü niyetli amaçlar için meşru sistem araçlarını giderek daha fazla kullandıkları için uç nokta güvenlik çözümleri tarafından algılanmayı daha da karmaşıklaştırmaktadır.
Web sitesi sahipleri için, bu dava, sürekli izleme, web uygulaması güvenlik duvarlarının (WAF) dağıtılmasının ve ilk uzlaşmaları önlemek için güncellenmiş CMS ve sunucu yazılımının korunmasının öneminin altını çizmektedir.
Son kullanıcıların beklenmedik indirmelerle dikkatli olmaları, antivirüs çözümlerini aktif tutmaları ve riskleri azaltmak için sistem güncellemelerinin derhal uygulanmasını sağlamaları istenir.
Bu WordPress kötü amaçlı yazılım kampanyası, saldırganların hem web platformlarını hem de son kullanıcı sistemlerini tehlikeye atmaya zorladığı dijital manzarada kalıcı ve gelişen tehditlerin kesin bir hatırlatıcısı olarak hizmet ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin