Sürekli değişen siber güvenlik ortamında, sahte Chrome güncellemesi biçiminde kalıcı bir tehdit ortaya çıkıyor.
Genellikle bu çabalar, bir web sitesine zararlı kod enjekte etmeyi içerir ve bu da bireyleri bir açılır mesajla web tarayıcılarını güncellemeye teşvik eder.
Nisan 2024’ün sonlarından bu yana yeni bir çalışma yürütülüyor.
Bir web sitesi ele geçirildiğinde ziyaretçiler, yüklendikten birkaç saniye sonra yanıltıcı bir açılır pencere mesajı alır.
Sunulan bağlantıya tıklayan kullanıcılar, SocGholish adı verilen en kötü şöhretli kötü amaçlı yazılım türü olan uzaktan erişim truva atı veya bilgi hırsızı gibi kötü amaçlı yazılım indirme işlemini başlatmayı amaçlayan kötü amaçlı URL’lere yönlendirilir.
Bu yazının yazıldığı an itibarıyla 341 web sitesi bu sahte tarayıcı güncelleme açılır penceresini görüntülüyor.
Yeni Sahte Tarayıcı Güncelleme Kampanyasının Özellikleri
Bu yeni sahte tarayıcı güncelleme kampanyasının bulaşma sürecinin ilk adımı olarak, savunmasız web sitelerine kötü amaçlı kod enjekte ediliyor.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Web sayfası yüklendikten birkaç saniye sonra, web sitesinin güvenliği ihlal edildiğinde kullanıcılara aşağıdaki aldatıcı açılır mesaj gönderilir:
“Kötü bir İngilizceyle yazılan mesajda Uyarı İstismar Chrome Algılaması yazıyor. Chrome Tarayıcıyı güncelleyin ve büyük, mavi bir Güncelleme düğmesi ekleyin.
Sucuri, Cyber Security News’e, açılır pencerenin Chrome tarayıcısını kullanmayan kullanıcılara bile görüntülendiğini ve bunun yanıltıcı (ve amatörce) niteliğini vurguladığını söyledi.
Bir kullanıcı, Güncelle düğmesini tıklattığında kötü amaçlı yazılım indirmeyi başlatması amaçlanan çeşitli kötü amaçlı URL’lerden birine yönlendirilir.
Aşağıdaki URL’ler bu kampanyanın bir parçasıdır:
- hxxps://photoshop-adobe[.]shop/download/dwnl.php
- hxxps://brow-ser-güncellemesi[.]top/download/dwnl.php
- hxxps://tinyurl[.]com/uoiqwje3
Bu URL’ler, 185.196.9 sunucusundan kötü amaçlı indirmeler sağlamak için kullanıldı[.]156’yı GoogleChrome-x86.msix ortak adıyla kullanıyorlar, ancak artık işlevsel değiller.
Sucuri’nin SiteCheck uzak web sitesi tarayıcısı bu tehdidi kötü amaçlı yazılım.fake_update.3 olarak algılar.
Araştırmacılar, saldırganların WordPress yönetici arayüzüne erişim sağladıktan sonra eklentiyi yüklediğini ve kötü amaçlı açılır kodu “İçe Aktarma” özelliğini kullanarak yüklediğini belirtiyor.
Kampanya, bilgisayar korsanlarının güvenilir eklentileri yasa dışı amaçlarla kullanma eğiliminin arttığını vurguluyor.
Bu, çoğu eklentinin verilerini WordPress veritabanında tutması nedeniyle dosya tarayıcıları tarafından bulunmalarını önlemenizi sağlar.
Bu taktik, WPCode eklentisini kullanan VexTrio DNS TXT yönlendirmeleri ve Simple Custom CSS ve JS eklentisini kullanan Sign1 kötü amaçlı yazılımı gibi diğer önemli WordPress enfeksiyon kampanyalarında da kullanıldı.
Öneri
- Web sitenizde “kullan ya da kaybet” politikasını uygulayın.
- Tüm hesaplarınız için güçlü ve benzersiz şifreler oluşturun.
- 2FA kullanın ve WordPress yöneticinize ve diğer hassas sayfalarınıza erişimi kısıtlayın.
- Web sitenizin yazılımını yamalı ve güncel tutun.
- Bir web uygulaması güvenlik duvarı kullanın.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs:
Try Free Demo