Güvenlik araştırmacıları, “Mu-Plugins” (zorunlu kullanılması gereken eklentiler) dizininden yararlanarak WordPress web sitelerini hedefleyen yeni bir siber saldırı dalgası ortaya çıkardılar.
Eklentileri aktivasyon gerektirmeden otomatik olarak yüklemek için tasarlanan bu dizin, standart WordPress arayüzlerindeki düşük görünürlüğü nedeniyle tehdit aktörleri için çekici bir saklanma noktası haline geldi.
Bu dizine gömülü kötü amaçlı yazılım, saldırganların uzaktan kodu yürütmelerini, trafiği yönlendirmesini ve spam içeriği enjekte etmesini ve web sitesi güvenliğine önemli riskler oluşturmasını sağlar.
Saldırganlar tarafından kullanılan teknikler
Araştırmacılar, Mu-Plugins dizininde üç farklı kötü amaçlı yazılım varyantı belirlediler:
- Sahte güncelleme yönlendirme kötü amaçlı yazılım:
redirect.phpDosya, bu kötü amaçlı yazılım site ziyaretçilerini kötü amaçlı harici web sitelerine yönlendirir. Kendisini meşru bir güncelleme mekanizması olarak gizleyerek, normal kullanıcıları hedeflerken botlar ve yöneticiler tarafından algılanmayı önler. - Uzaktan Kod Yürütme Web Shell: Daha sofistike bir saldırı keşfedildi.
index.phpdosya. Bu webshell, saldırganların uzaktan PHP komut dosyalarını dinamik olarak indirmesine ve yürütmelerine olanak tanır, bunlara tehlikeye atılan site üzerinde tam kontrol sağlar ve kalıcı arka kapı erişimini sağlar. - Enjektör:
custom-js-loader.phpbu kötü amaçlı yazılım spam içeriğini enjekte eder ve resimler ve bağlantılar gibi web sitesi öğelerini manipüle eder. Site görüntülerini açık içerikle değiştirir ve kullanıcıları kötü amaçlı açılır pencerelere veya kimlik avı sayfalarına yönlendirerek giden bağlantıları kaçırır.
Yöneticiler, yetkisiz yönlendirmeler, beklenmedik dosya değişiklikleri veya yüksek sunucu kaynağı kullanımı gibi olağandışı site davranışı yoluyla enfeksiyonları tanımlayabilir.
Rapora göre, Mu-Plugins dizinindeki yanıltıcı isimlere sahip şüpheli dosyalar başka bir kırmızı bayrak.
Kötü amaçlı yazılımın sonuçları
Bu saldırıların etkisi çok yönlü:
- Trafik yeniden yönlendirme: Kullanıcıları kötü amaçlı web sitelerine yönlendirmek bir sitenin itibarına zarar verebilir ve ziyaretçiler için kötü amaçlı yazılım indirmelerine yol açabilir.
- Kalıcı arka kapılar: Webshells, saldırganların uzun vadeli erişimi sürdürmesine izin vererek veri hırsızlığı, daha fazla kötü amaçlı yazılım dağıtım veya web sitesi aşılımı sağlar.
- SEO spam enjeksiyonu: Görüntüleri açık içerikle değiştirmek ve bağlantıları manipüle etmek bir sitenin güvenilirliğine ve SEO sıralamalarına zarar verebilir.
Birincil enfeksiyon yöntemleri, eski eklentiler veya temalardan yararlanmak, tehlikeye atılmış yönetici kimlik bilgilerini ve zayıf sunucu yapılandırmalarını içerir.
Mu-Plugins dizininin içine girdikten sonra, kötü amaçlı yazılım WordPress ile otomatik yürütme sağlar ve algılamayı zorlaştırır.
Mu-Plugins dizininin sömürülmesi, tehdit aktörlerinin gelişen taktiklerinin WordPress sitelerine kötü amaçlı yazılımları yerleştirmede altını çiziyor.
Düzenli güvenlik denetimleri, güncellemeler ve sağlam erişim kontrolleri gibi proaktif önlemler, web sitelerini bu tür sofistike saldırılara karşı korumak için gereklidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!