WordPress tarafından desteklenen 1000’den fazla web sitesi, dört ayrı arka kapı enjekte eden üçüncü taraf bir JavaScript kodu ile enfekte olmuştur.
C/yan araştırmacı Himanshu Anand Çarşamba analizinde, “Dört backdoor yaratmak, birden fazla yeniden giriş puanı olan saldırganların tespit edilmesi ve kaldırılması durumunda,” dedi.
Kötü amaçlı JavaScript koduna cdn.csyndication yoluyla sunulduğu bulunmuştur.[.]com. Yazma olarak, 908 kadar web sitesi söz konusu alana referanslar içerir.
Dört arka kolun işlevleri aşağıda açıklanmıştır –
- “Ultra SEO İşlemci” adlı sahte bir eklenti yükleyen ve yükleyen Backdoor 1, daha sonra saldırgan tarafından verilen komutları yürütmek için kullanılan
- WP-Config.php’ye kötü niyetli javascript enjekte eden arka kapı 2
- Makineye kalıcı uzaktan erişime izin vermek için ~/.ssh/yetkili_keyler dosyasına saldırgan kontrollü bir SSH anahtarı ekleyen Backdoor 3
- Uzaktan komutları yürütmek için tasarlanmış ve GSocket’ten başka bir yük getiren Backdoor 4[.]Muhtemelen bir ters kabuk açacak
Saldırıların sağladığı riski azaltmak için kullanıcıların yetkisiz SSH tuşlarını silmeleri, WordPress yönetici kimlik bilgilerini döndürmeleri ve şüpheli etkinlik için sistem günlüklerini izlemeleri önerilir.
Geliştirme, siber güvenlik şirketinin detaylandırıldığı gibi, başka bir kötü amaçlı yazılım kampanyası, site ziyaretçilerini Çince kumar platformlarına yönlendirmek için “kullanıcının tarayıcı penceresini tamamen kaçıran” kötü amaçlı JavaScript ile 35.000’den fazla web sitesini tehlikeye attı.
“Saldırı, Mandarin’in yaygın olduğu bölgelerden hedef alıyor veya geliyor gibi görünüyor ve son açılış sayfaları ‘Kaiyun’ markası altında kumar içeriği sunuyor.
Yeniden yönlendirme, yönlendirmeleri gerçekleştirmekten sorumlu ana yük için bir yükleyici görevi gören beş farklı alanda barındırılan JavaScript aracılığıyla gerçekleşir –
- Mlbetjs[.]com
- Ptfafay[.]com
- Zuizhongjs[.]com
- JBWZZZJS[.]com
- jpbkte[.]com
Bulgular ayrıca Grup-Ib’den bir tehdit oyuncusu hakkında yeni bir rapor izledi. Çığlık attı Bu, ziyaret eden kullanıcıların parmak izlerini toplamak için Bablosoft JS olarak adlandırılan bir Bablosoft JS olarak adlandırılan Magento web sitelerine enjekte eder. 115’ten fazla e-ticaret sitesinin bugüne kadar etkilendiğine inanılmaktadır.
Enjekte edilen komut dosyası “Bablosoft BrowserautomationStudio (BAS) Suite’in bir parçasıdır” Singapurlu Şirket, ekleyerek “uzlaşan web sitesini ziyaret eden kullanıcıların sistem ve tarayıcısı hakkında bilgi toplamak için başka işlevler içeriyor.”
Saldırganların, web sitelerini ihlal etmek için savunmasız Magento sürümlerini (örneğin, CVE-2024-34102 aka Cosmicsting ve CVE-2024-20720) etkileyen bilinen güvenlik açıklarından yararlandığı söyleniyor. Finansal olarak motive olmuş tehdit oyuncusu ilk olarak Mayıs 2024’ün sonlarında Vahşi’de keşfedildi.
Grup-IB, “Tarayıcı parmak izi, web siteleri tarafından kullanıcı etkinliklerini izlemek ve pazarlama stratejilerini uyarlamak için yaygın olarak kullanılan güçlü bir tekniktir.” Dedi. “Bununla birlikte, bu bilgiler, meşru kullanıcı davranışını taklit etmek, güvenlik önlemlerinden kaçınmak ve hileli faaliyetler yürütmek için siber suçlular tarafından da kullanılmaktadır.”