GodAddy güvenlik araştırmacıları, en az 2017’den bu yana, kötü niyetli dolandırıcılıklara doğru trafiği huni yapmak için tehlikeye atılan web sitelerini kullanan sofistike bir trafik yön sistemi çalışması olan Help TDS’nin ayrıntılı bir analizini açıkladılar.
Bu işlem, iştiraklere, ziyaretçileri Microsoft Windows güvenlik uyarılarını taklit eden hileli sayfalara yönlendirmek için, başta WordPress kurulumları olmak üzere meşru sitelere enjekte edilen PHP kodu şablonları sağlar.
Bu uyarılar, kullanıcıları tuzağa düşürmek ve sahte teknoloji destek hatlarını çağırmaya zorlamak için tam ekran devralmalar ve çıkış önleme komut dosyaları gibi gelişmiş tarayıcı manipülasyon teknikleri kullanır.
Kalıcı bir trafik yön sisteminin evrimi
Mağdurlar etkileşime girdiğinde, saldırganlar kötü amaçlı yazılım tespitleri ve sahte temizleme hizmetleri için ödeme ödemeleri yapmak için uzaktan erişim araçlarını kullanırlar.
Kalifiye olmayan trafik için, TDS’nin buluşma siteleri, kripto para birimi şemaları veya çekilişleri içeren alternatif dolandırıcılıklara düşmesi ve Dollyway, Balada enjektör ve DNS TXT hakemleri gibi kampanyalarla entegre esnek bir para kazanma modeli gösteren alternatif dolandırıcılıklara geri döner.
Sistemin ayırt edici özelliği, kullanıcıları gadbets gibi alan adlarına yönlendiren kendine özgü yönlendirici URL modeli /yardım /? D {14}[.]Site veya Radiant.Growier[.]mağaza.
Tarihsel izleme bağlantıları, TDS’nin 2018 Crypper Redirektör ve hatta FPED8’e bağlı 2015 SEO spam kapıları da dahil olmak üzere önceki kötü amaçlı yazılım suşlarına yardımcı olur[.]Org.
Zamanla, ücretsiz TLD’lerdeki tek kullanımlık alanlardan, taze yönlendirme alanları için traffrredirect gibi telgraf kanallarına dayanan sağlam bir altyapıya ve pinkfels gibi yedek C2 sunucularına dayanmıştır.[.]mağaza.
İştirakler, bu şablonları benzersiz kampanya kimlikleri ve API anahtarlarıyla özelleştirerek, LOSPollos gibi alternatif TD’lerle sorunsuz entegrasyon sağlarken, paylaşılan kod tabanları yardım TDS operatörlerinin siber suçlular için giriş bariyerini düşürmek için fiş ve play çözümleri sağladığını göstermektedir.
Sofistike kötü niyetli eklenti sürücüleri
Son operasyonların merkezinde, 2024’ün sonundan Haziran 2025’e hızla gelişen meşru WooCommerce araçlarıyla ilgisi olmayan kötü niyetli “WooCommerce_Inputs” WordPress eklentisi bulunmaktadır.
Dünya çapında 10.000’den fazla sitede çalınan yönetici kimlik bilgileri aracılığıyla yüklenen bu eklenti, iyi huylu bir uzantı olarak maskelenir, ancak kimlik bilgisi hasat, coğrafi filtreleme ve otonom güncellemeler içerir.
1.4 gibi erken sürümler, gecikmiş aktivasyon (install sonrası 24 saat), IP’leri günlüğe kaydettirmek ve tekrarlanan yönlendirmeleri önlemek için veritabanı tablolarını (örn. WP_IP_TRACKING) hedefleyen sadece masaüstü yönlendirmeleri içeriyordu.
Mayıs 2025’te 1.5 sürümüne kadar, kullanıcı veri adlarının, e -postaların ve görüntülenen adların Pinkfels’e iki haftada bir eklenmesi ekledi[.]Mağaza, hesap devralmaları için karanlık web dökümleri ile potansiyel olarak çapraz referanslı.
Bu, kendini güçlendiren bir döngü yaratır: çalınan kimlik bilgileri daha fazla enfeksiyon sağlar, kalıcılığı artırır.
Rapora göre, sürüm 1.7, tüm arama motoru trafiğini yeniden yönlendirmek, para kazanmayı geliştirmek için gevşemiş filtreler, 2.0.0, C2 uç noktaları aracılığıyla günlük güncelleme kontrolleriyle nesne yönelimli tasarımını, kütle veya hedefli yönlendirmeler için özelleştirilmiş zip dosyaları indirerek tanıttı.
Bir Buggy sürümü 3.0.0, muhtemelen AI tarafından üretilen ve kampanyaya özgü, sunucu çapında enfeksiyonlar ve rakip kötü amaçlı yazılımların kaldırılması, ancak pratik olmadığı için nadir kalıyor.
32471739198434 ve 32861745670379 gibi aktif kampanyalar, kurulumlar için 212.56.48.34 gibi proxy IP’leri kullanıyor ve girişten aktivasyona 22 saniyelik hızlı enfeksiyon dizileri gösteriyor.
Sonuç olarak, Yardım TDS, entegre C2, kaçırma taktikleri ve eklenti evrimi, lospollos sonrası bozulma yoluyla bağlı kuruluşları güçlendiren bir ceza hizmeti ekosistemini örneklendirir.
Web sitesi sahipleri, bu tehdide karşı koymak için MFA, eklenti denetimleri ve güvenlik taramalarına öncelik vermelidir, çünkü GodAddy barındırılan sitelerdeki enfeksiyonları zaten azaltmıştır.
Uzlaşma Göstergeleri (IOC)
| Kategori | Detaylar |
|---|---|
| Dosya adları | wp-content/eklenti/woocommerce_inputs/woocommerce_inputs.php; wooCommerce-load.php; Önbellek dosyaları (örn., FA9A7BA3D8E48B74B57AF9E70AA419AB) |
| Karmalar (SHA-256) | e889b2a4631291db487da925dea5844c386e8e439b2f87a2f798544e0a7c4f0; B3D0517A360B283C671BCBB8C09F517E9AA5A4C402C4D2C029059DB55FC6601C; 89A3BDFE7072F226134DEC05F128150BDFC106F9A1C8AFCC47D19F9B9A1EA |
| Kampanya Kimlikleri/API anahtarları | 32471739198434 (5AD35C567498E1685DBB59748C40A1C9); 32861745670379 (153D4F720470D9E7A3E895C70153E7CD) |
| C2/URL’ler | t.me/s/trafficRiRECT; pinkfels[.]Mağaza/? T = json & i = |
| IPS | 84.239.43.45; 212.56.48.34; 78.128.113.14 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!