İlk enjeksiyon, kullanıcıları spam içerikli bir spor web sitesine yönlendirirken, ikincisi, spam içerikli bir kumarhane web sitesinin arama motorlarındaki otoritesini artırdı.
Sucuri’deki siber güvenlik araştırmacıları, nasıl yapılacağına ilişkin araştırmalarını paylaştılar. WordPress güvenlik açıkları sistemin güvenliğini tehlikeye atabilir ve genellikle zaten keşfedilen kusurlar, WordPress sitelerini birden çok enfeksiyonla tehlikeye atmak için kullanılır.
Araştırmacılar, eski web sitelerinin birden çok saldırgan tarafından istismar edilme olasılığının yüksek olduğunu veya aynı bilgisayar korsanının birden çok kanal kullanarak bunları hedefleyebileceğini belirtti. İkinci senaryo, tamamen farklı iki hedefe ulaşmak için birbirine gömülü iki farklı kötü amaçlı yazılım içeren bir veritabanı enjeksiyonu tespit eden Sucuri’nin araştırmacıları tarafından kısa bir süre önce tanımlandı. Her iki kötü amaçlı yazılım da bir WordPress veritabanına dağılmış olarak bulunabilir.
İlk enjeksiyon, kullanıcıları spam içerikli bir spor web sitesine yönlendirirken, ikincisi, spam içerikli bir kumarhane web sitesinin arama motorlarındaki otoritesini artırdı. Sucuri’ye göre, ilk enjeksiyondan yaklaşık 270 web sitesi etkilendi ve ikincisi 82 web sitesini etkiledi.
İlk enjeksiyonun etki alanı yeniden yönlendirme işlemini gerçekleştirir. Tarayıcıya 60 saniye beklemesi talimatı verilir, ardından “hxxp://redirect4xyz” etki alanına bir yönlendirme yapılır. Kullanıcı yeniden yönlendirilir ve ilk yönlendirme işlemi tamamlandığında hxxp://pontiarmadacom adlı bu spam etki alanına ulaşır. Bu istenmeyen site, bilgisiz kullanıcılara kötü amaçlı yazılım yayan iframe’lere sahiptir.
İkinci enjeksiyonun etki alanı “hxxp://nomortogelkuxyz”, arama motorlarındaki otoritesini artırmak için ortak bir metodoloji kullanan bir kumar kumarhane sitesidir. Bu saldırgan, siyah şapka SEO taktiği kullandı ve etki alanı otoritesini iyileştirmek ve orijinal görünmek için güvenliği ihlal edilmiş sitelerin her yerine görünmez bir bağlantı yerleştirdi.
Şunu belirtmekte fayda var ki, Sucuri’ye göre Blog yazısı, her iki enjeksiyon da saldırganların bu tür kampanyalarda yaygın olarak kullandığı “.xyz” alan adı uzantısını kullanır. Bu alan adları, ilk yıl için daha ucuz fiyatlara sunulur, bu da neden yaygın olarak kullanıldığını açıklar.
Bununla birlikte, aynı web sitesinde iki farklı bulaşmanın varlığı, saldırganların aynı sitede çeşitli kötü amaçlı yazılımları nasıl yayabileceğini ve farklı kötü aktörlerin siteye bulaşmak için tek bir kusurdan nasıl yararlanabileceğini gösterir.
Tehdit aktörleri, tam erişim elde etmek için aynı eski sitelerden farklı kötü amaçlı yazılımlarla kolayca para kazanabilir. Sorun yatıyor savunmasız WordPress eklentileri/temalarıbirden çok tehdit aktörünün kötü amaçlı yazılımdan yararlanmasına ve dağıtmasına olanak tanır.
Tehdidi azaltmak için, güvenlik açıklarının zamanında yamalanması için otomatik güncellemeleri etkinleştirerek WordPress site eklenti temalarınızı ve yazılımınızı güncel tutun. Ayrıca, bir web uygulaması güvenlik duvarı, güvenlik açıklarından kaynaklanan saldırıları engelleyebilir ve savunmasız bir site için başka bir koruma katmanı ekleyebilir.
Ayrıca yönetici kullanıcı sayısı düşük olmalı ve tüm hesaplar için daha güvenli şifreler oluşturulmalıdır. Son olarak, gerekli iki faktörlü kimlik doğrulamayı etkinleştir (2FA) WordPress yönetici hesaplarını yetkisiz erişime karşı korumak için.
Alakalı haberler
- WordPress için Adım Adım Güvenlik Kılavuzu
- WordPress Eklentisi NextGEN Galeri Güvenlik Açığı
- Bilgisayar korsanları binlerce WordPress web sitesini tahrif ediyor
- Saldırıya uğramış WordPress ve Joomla siteleri kötü amaçlı yazılım bırakıyor
- Ücretsiz SSL Sertifikalı 5 WordPress Güvenlik Çözümü
- 21.000 web sitesini etkileyen 3 savunmasız WordPress eklentisi