WordPress sitelerini hedefleyen yeni bir kötü amaçlı yazılım kampanyası, kullanıcıları yüklemeye ve güvenmeye kandırmak için bir güvenlik aracı olarak gizlenmiş kötü niyetli bir eklenti kullanır.
WordFence araştırmacılarına göre, kötü amaçlı yazılım saldırganlara kalıcı erişim, uzaktan kod yürütme ve JavaScript enjeksiyonu sağlar. Aynı zamanda, eklenti gösterge tablosundan algılamadan kaçınmaya devam eder.
WordFence, Ocak 2025’in sonlarında bir site temizliği sırasında kötü amaçlı yazılımları keşfetti ve burada ‘WP-ANTYMalwary-Bot.php’ adlı kötü amaçlı bir eklenti oluşturan ve programlı olarak etkinleştiren değiştirilmiş bir ‘wp-cron.php’ dosyası buldu.
Kampanyada kullanılan diğer eklenti adları şunlardır:
- Addons.php
- wpconsole.php
- WP-Performance-Booster.php
- Scr.php
Eklenti silinirse, wp-cron.php bir sonraki site ziyaretinde otomatik olarak yeniden oluşturur ve yeniden etkinleştirir.
Tam enfeksiyon zincirini tanımlamaya yardımcı olmak için sunucu günlüklerinden yoksun olan WordFence, enfeksiyonun tehlikeye atılmış bir barındırma hesabı veya FTP kimlik bilgileri yoluyla gerçekleştiğini varsayar.
Araştırmacılar, komut ve kontrol (C2) sunucusunun Kıbrıs’ta bulunduğunu ve Haziran 2024 tedarik zinciri saldırısına benzer özellikler olduğunu belirtmiş olsa da, failler hakkında çok fazla şey bilinmemektedir.
Sunucuda etkin olduktan sonra, eklenti kendi kendine kararlı bir kontrol gerçekleştirir ve ardından saldırgan yöneticisine erişim sağlar.
“Eklenti, acil durum_login_all_admins işlevi aracılığıyla tehdit aktörlerine anında yöneticiye erişim sağlar.”
“Bu işlev, saldırganların gösterge paneline yöneticiye erişmesini sağlamak için acil durum_login get parametresini kullanıyor.”
“Doğru temiz metin parolası sağlanırsa, işlev tüm yönetici kullanıcı kayıtlarını veritabanından alır, birincisini seçer ve saldırganı o kullanıcı olarak günlüğe kaydeder.”
Daha sonra, eklenti, keyfi PHP kodunun tüm aktif tema üstbilgisine eklenmesini, eklenti önbelleklerinin temizlenmesi ve bir post parametresi aracılığıyla işlenen diğer komutlar için gerekli olmayan özel bir dinlenme API yolu kaydeder.
Kötü amaçlı yazılımların güncellenmiş bir sürümü, sitenin içine Base64 kodlu JavaScript’i de enjekte edebilir.
Bölüm, ziyaretçi reklamları, spam sunmak veya bunları güvensiz sitelere yönlendirmek için muhtemeldir.
Listelenen eklentiler gibi dosya tabanlı göstergelerin yanı sıra, web sitesi sahipleri beklenmedik eklemeler veya değişiklikler için ‘wp-cron.php’ ve ‘header.php’ dosyalarını incelemelidir.
‘Acil durum_login’, ‘check_plugin,’ ‘urlchange’ ve ‘Key’ içeren erişim günlükleri de daha fazla araştırma gerektiren kırmızı bayrak görevi görmelidir.