WordPress e-ticaret sitelerini, özellikle de müşteri işlemlerini gerçekleştirmek için WooCommerce eklentisini kullananları hedef alan karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Ağustos 2025’te keşfedilen tehdit, geleneksel güvenlik tespit yöntemlerini atlatmak üzere tasarlanmış çok katmanlı kredi kartı toplama mekanizmalarıyla birlikte gelişmiş kaçırma yeteneklerini gösteriyor.
Kötü amaçlı yazılım, özel şifreleme protokolleri, kötü amaçlı yükleri gizleyen sahte görüntü dosyaları ve saldırganların talep üzerine ek kod dağıtmasına olanak tanıyan kalıcı bir arka kapı altyapısı içeren sahte bir WordPress eklentisi olarak çalışıyor.
Kurulum, genellikle güvenliği ihlal edilmiş kimlik bilgileri veya güvenli olmayan eklentiler yoluyla elde edilen yönetici düzeyinde erişim gerektirir.
Etkinleştirildiğinde, kötü amaçlı yazılım WordPress eklenti dizininde gizli kalır ve etkilenen sitede izleme çerezleri oluştururken ve yönetici bilgilerini günlüğe kaydederken tespit risklerini en aza indirir.
Wordfence analistleri, 21 Ağustos 2025’te kapsamlı bir örnek aldıktan sonra kötü amaçlı yazılımı tespit edip katalogladı.
Dört tespit imzası geliştirildi ve 27 Ağustos ile 9 Eylül 2025 tarihleri arasında Wordfence Premium, Care ve Response müşterilerine sunuldu; ücretsiz kullanıcılar, standart 30 günlük gecikmenin ardından imzaları aldı.
Kötü amaçlı yazılımın hassas ödeme verilerini sistematik olarak yakalayıp sızdırması nedeniyle tehdit, çevrimiçi satıcılar ve müşterileri için önemli bir risk teşkil ediyor.
Gelişmiş Kalıcılık ve Komuta ve Kontrol Altyapısı
Kötü amaçlı yazılım, birden fazla artıklık katmanı aracılığıyla esneklik oluşturur. Oturum açma sırasında wp_authenticate_user filtresini ve wp_login eylem kancalarını kullanarak WordPress kullanıcı kimlik bilgilerini ele geçirerek bu verileri saldırgan tarafından kontrol edilen sunuculara sızdırır.
Yük yerleştirme mekanizması, üç farklı dosyaya dağıtılan, ters çevrilmiş ve kodlanmış JavaScript içeren sahte PNG görüntü dosyaları aracılığıyla çalışır: AJAX arka kapısı aracılığıyla güncellenen özel bir veri yükü, günlük olarak yenilenen dinamik bir veri yükü ve bir yedek statik kopya.
JavaScript skimmer, form çakışmalarını önlemek için WooCommerce ödeme sayfalarında üç saniyelik bir gecikmeyle etkinleştirilir. Kart numaralarını, son kullanma tarihlerini ve CVV değerlerini yakalamak için olay dinleyicileri ekler ve ardından bu bilgileri AJAX POST istekleri aracılığıyla geri iletir.
PHP filtreleme bileşeni, yerel cURL, file_get_contents, sistem kabuğu kıvrılması ve e-posta dağıtımı gibi birden fazla geri dönüş mekanizması uygulayarak verilerin farklı sunucu ortamlarındaki saldırganlara ulaşmasını sağlar.
Analiz, kötü amaçlı yazılımı, komuta ve kontrol sunucusu URL’lerinde bulunan SMILODON tanımlayıcısı ve önceki tehdit aktörü etkinlikleriyle eşleşen kodlama kalıpları tarafından desteklenen Magecart Group 12’ye bağlar.
Kampanya, WordPress e-ticaret platformları için kalıcı tehdit ortamının ve güncel güvenlik altyapısı ve izleme sistemlerinin sürdürülmesinin kritik öneminin altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
