Bilgisayar korsanları, sahte tarayıcı güncelleme istemleri aracılığıyla son kullanıcılara kötü amaçlı yazılım ve bilgi hırsızlığı sağlayan sahte eklentilerle WordPress sitelerine bulaşmak için çalıntı kimlik bilgilerini kullanıyor.
ClickFix sahte tarayıcı güncellemesi kötü amaçlı yazılımının yeni bir versiyonunu temel alan kötü amaçlı kampanya, Haziran 2024’ten bu yana 6.000’den fazla siteye sahte WordPress eklentileri bulaştırdı. GoDaddy güvenliğine göre, genel olarak ClickFix, Ağustos 2023’ten bu yana 25.000’den fazla sitenin güvenliğini ihlal etti. takım.
Sahte WordPress Eklentileri Çalınan Kimlik Bilgilerinden Faydalanıyor
Sahte eklentileri sunmak için bilinen hiçbir güvenlik açığından yararlanılmıyor; bilgisayar korsanları çalıntı kimlik bilgilerini kullanıyor gibi görünüyor.
GoDaddy danışmanı, “Günlük analizi, sahte WordPress eklentilerinin kurulumunun, WordPress ekosistemindeki bilinen herhangi bir güvenlik açığından doğrudan yararlanmadığını ortaya koyuyor” dedi. “Bunun yerine, saldırganlar ele geçirilen her site için meşru WordPress yönetici kimlik bilgilerine sahipti.”
Eklentiler “web sitesi yöneticilerine zararsız görünecek şekilde tasarlandı”, ancak site ziyaretçilerine sahte tarayıcı güncellemeleri ve diğer kötü amaçlı istemler gösterilebilir.
Eklentiler, EtherHiding olarak bilinen “kötü amaçlı yükleri elde etmek için blockchain ve akıllı sözleşmeleri kullanan sahte tarayıcı güncelleme kötü amaçlı yazılımın bilinen bir varyasyonunu” içeren kötü amaçlı JavaScript enjekte ediyor. Tarayıcıda çalıştırıldığında JavaScript, kullanıcıları makinelerine kötü amaçlı yazılım (genellikle uzaktan erişim truva atları (RAT) veya Vidar Stealer ve Lumma Stealer gibi bilgi hırsızları) yüklemeye yönlendiren sahte tarayıcı güncelleme bildirimleri sunar.
Sahte WordPress Eklentileri: Ayrıntılar ve IoC’ler
Sahte eklentiler ” gibi genel adlar kullanırGelişmiş Kullanıcı Yöneticisi” veya “Hızlı Önbellek Temizleyici,” ve dizinleri yalnızca 3 küçük dosya içeriyor: index.php, .DS_Storeve bir -script.js Genellikle eklentinin adına göre bir varyasyona sahip dosya.
Bu adlandırma şemaları diğer kötü amaçlı eklentilerin keşfedilmesine yol açtı:
| Eklenti adı | Enjekte edilen komut dosyası |
| Yönetici Çubuğu Özelleştirici | admin-bar-özelleştirici/abc-script.js |
| Gelişmiş Kullanıcı Yöneticisi | gelişmiş kullanıcı yöneticisi/aum-script.js |
| Gelişmiş Widget Yönetimi | gelişmiş-widget-yönet/awm-script.js |
| İçerik Engelleyici | içerik engelleyici/cb-script.js |
| Özel CSS Enjektörü | özel-css-enjektör/cci-script.js |
| Özel Altbilgi Oluşturucu | özel-altbilgi-oluşturucu/cfg-script.js |
| Özel Giriş Şekillendirici | özel-oturum açma-şekillendirici/cls-script.js |
| Dinamik Kenar Çubuğu Yöneticisi | dinamik kenar çubuğu yöneticisi/dsm-script.js |
| Kolay Tema Yöneticisi | easy-themes-manager/script.js |
| Form Oluşturucu Pro | form-builder-pro/fbp-script.js |
| Hızlı Önbellek Temizleyici | hızlı-önbellek-temizleyici/qcc-script.js |
| Duyarlı Menü Oluşturucu | duyarlı-menü-oluşturucu/rmb-script.js |
| SEO Optimize Edici Pro | seo-optimizer-pro/sop-script.js |
| Basit Gönderi Geliştirici | simple-post-enhancer/spe-script.js |
| Sosyal Medya Entegratörü | sosyal medya entegratörü/smi-script.js |
Danışma belgesinde, “Temel eklenti kodu, kırmızı bayrakların yükseltilmesini önlemek için kasıtlı olarak basit kalıyor” dedi. için bir kanca wp_enqueue_scripts eklenti dizininden WordPress sayfalarına zararlı bir komut dosyası yüklemek için eylem değiştirilir.
.DS_Store MacOS Finder uygulamasının klasör tercihlerini saklamak için oluşturduğu gizli dosyalar olan Masaüstü Hizmetleri Mağazası’nın kısaltmasıdır. Sahte eklenti .DS_Store dosyaları herhangi bir bilgi içermez ancak bir güvenlik ihlali göstergesi (IoC) olarak kullanılabilir:
- MD5: [194577a7e20bdcc7afbb718f502c134c
- SHA 256: d65165279105ca6773180500688df4bdc69a2c7b771752f0a46ef120b7fd8ec3
Komut dosyası dosya adları aynı içeriği içerir ve karmalarıyla tanımlanabilir:
- MD5: 602e1f42d73cadcd73338ffbc553d5a2
- SHA 256: a4ad384663963d335a27fa088178a17613a7b597f2db8152ea3d809c8b9781a0
Çalınan WordPress Kimlik Bilgileriyle İlgili Spekülasyonlar
GoDaddy uyarısı, geçerli WordPress yönetici kimlik bilgilerinin varlığının, bilgisayar korsanlarının kimlik bilgilerini elde etmek için kaba kuvvet saldırıları, kimlik avı kampanyaları ve hatta web sitesi yöneticilerinin bilgisayarlarına kötü amaçlı yazılım veya bilgi hırsızlığı bulaşması gibi yöntemler kullandığını gösterdiğini belirtiyor.
Tavsiye belgesinde belirtilmedi, ancak muhtemelen çok faktörlü kimlik doğrulamanın, çalınan kimlik bilgilerinin kötüye kullanılmasına karşı cihaz kimliği, sağlık durumu ve konum gibi diğer erişim kontrollerine karşı bir miktar koruma sağlayacağı tahmin ediliyor.