Sofistike bir kötü amaçlı yazılım kampanyası, WordPress ve WooCommerce web sitelerini, yüksek derecede gizlenmiş kredi kartı sıyırıcılarına ve kimlik bilgisi hırsızlık özelliklerine sahip ve e-ticaret siber tellerinde önemli bir artışı temsil eden hedeflemeyi hedeflemiştir.
Kötü amaçlı yazılım ailesi, ödeme verileri hırsızlığı, WordPress kimlik bilgisi hasadı ve hileli reklam enjeksiyonu dahil olmak üzere farklı kötü niyetli amaçlar için tasarlanmış birden fazla varyant içeren modüler mimarisi aracılığıyla gelişmiş teknik gelişmişliği göstermektedir.
Kampanyanın teknik karmaşıklığı, genellikle geliştirici araçları algılama, konsol yeniden oluşturma ve saldırganların kötü niyetli işlevleri meşru ödeme süreçlerine sorunsuz bir şekilde entegre etmesine izin veren gelişmiş kalıcı tehditlerle ilişkili anti-analiz önlemlerinin dahil edilmesi için özellikle dikkat çekicidir.
.png
)
Kampanyanın operasyonel zaman çizelgesi, Eylül 2023’ten günümüze kadar uzanan sürekli gelişim ve dağıtım faaliyetlerini gösteren kanıtlarla sürekli ve gelişen bir tehdit manzarasını ortaya koymaktadır.
Kötü amaçlı yazılımların kalıcılığı ve uyarlanabilirliği, algılama sistemlerinden kaçınmak için saldırı metodolojilerini sürekli olarak geliştirirken uzun vadeli operasyonları sürdürebilen iyi kaynaklı bir tehdit oyuncusu olduğunu düşündürmektedir.
En önemlisi, kötü amaçlı yazılımların, belirli web sitesi alanlarıyla yürütmeyi sınırlandırarak, site yöneticilerini tanımak için çerezler kullanarak ve veri toplama verimliliğini en üst düzeye çıkarırken operasyonların gizli kalmasını sağlayan gelişmiş hedefleme mekanizmaları uygulayarak tespitten kaçınma yeteneğidir.
WordFence araştırmacıları, bu kötü amaçlı yazılım ailesini 16 Mayıs 2025’teki rutin bir site temizleme operasyonu sırasında belirledi ve daha sonra çok sayıda uzlaşmış web sitesinde birden fazla saldırı vektörünü destekleyen karmaşık bir altyapıyı ortaya çıkardı.
Keşif, 20’den fazla kötü amaçlı yazılım örneğinin kapsamlı analizine yol açarak, çerçevenin modüler doğasını ve farklı hedef ortamlara uyarlanabilirliği gösteren değişen özellik kümelerine sahip paylaşılan kod tabanlarını ortaya çıkardı.
Belki de en endişe verici olan, kampanyanın, tehlike altına alınan web sitelerini saldırganlar için özel arayüzlere dönüştüren arka uç sunucu işlevselliği ile birlikte, Rogue WordPress eklentisi olarak ambalajlama kötü amaçlı yazılımdaki yeniliğidir.
Bu yaklaşım, doğrudan mağdur web sitelerinde kalıcı altyapı oluşturarak, meşru eklenti işlevselliğinin görünümünü korurken etkili bir şekilde dağıtılmış komut ve kontrol yetenekleri oluşturarak geleneksel sıyırma işlemlerinden ayrılmayı temsil eder.
Gelişmiş anti-analiz ve kaçınma teknikleri
Kötü amaçlı yazılımın en sofistike yönü, güvenlik araştırmacılarını ve otomatik algılama sistemlerini önlemek için tasarlanmış kapsamlı anti-analiz tekniklerinde yatmaktadır.
Birincil kaçırma mekanizması, aşağıdaki algılama mantığını uygulayarak pencere boyut analizi aracılığıyla tarayıcı geliştirici araçlarının sürekli izlenmesini içerir:-
setInterval(function () {
var _0xff65e4 = window.outerWidth - window.innerWidth > 160;
var _0x24fb7b = window.outerHeight - window.innerHeight > 160;
var _0x32180e = _0xff65e4 ? "vertical" : "horizontal";
if ( !(_0x24fb7b && _0xff65e4) &&
(window. Firebug && window.Firebug.chrome
&& window.Firebug.chrome.isInitialized || _0xff65e4 || _0x24fb7b)) {
window.dispatchEvent(new CustomEvent("devtoolschange", {detail: {open: true, orientation: _0x32180e}}));
}
}, 500);Bu teknik, geliştirici araçlarının aktif olduğunu tespit etmek için dış ve iç pencere boyutları arasındaki farklılıkları sürekli olarak izler ve daha sonra konsol tabanlı analizden kaçınmak için kötü amaçlı yazılım davranışını değiştirir.
Ayrıca, kötü amaçlı yazılım, hata ayıklama denemeleri algılanırken tarayıcı sekmelerini çökmek veya dondurucu analiz araçlarını çözmek için tasarlanmış hata ayıklayıcı tuzakları ve sonsuz döngüleri uygular.
En gelişmiş varyantlar, standart konsol yöntemlerini dinamik olarak geçersiz kılan, geleneksel JavaScript hata ayıklama yaklaşımlarını etkili bir şekilde kısırlaştıran ve e-ticaret platformlarını hedefleyen emtia kötü amaçlı yazılım kampanyalarında nadiren gözlemlenen bir sofistike seviyesini gösteren konsol yeniden oluşturma mekanizmalarını içerir.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free tria