Giriş kimlik bilgilerini çalmak ve web sitesi güvenliğini tehlikeye atmak için aldatıcı bir önbellek eklentisi kullanan WordPress yöneticilerini hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası keşfedildi.
Güvenlik araştırmacıları, özel olarak idari ayrıcalıklara sahip kullanıcıları hedefleyen, sibercriminals tarafından kontrol edilen harici sunuculara duyarlı kimlik doğrulama verilerini yayarak “WP-Runtime önbelleği” olarak gizlenmiş kötü niyetli bir eklenti belirlediler.
Sahte WordPress önbelleği girişleri çalar
Sucuri, “WP-Runtime Cache” olarak tanımlanan sahte önbellek eklentisinin, tehlikeye atılan WordPress kurulumlarında kalıcılığı korurken tespiti önlemek için birkaç aldatıcı taktik kullandığını bildirdi.
.png
)
Genellikle birden fazla PHP ve JavaScript dosyası içeren meşru önbellek eklentilerinin aksine, bu kötü niyetli varyant yalnızca tek bir dosyadan oluşur: wp-runtime cache.php.
Eklenti, onu otantik yazılımdan ayıran birkaç kırmızı bayrak sergiler. Eklenti açıklaması, yazar bilgileri ve URL alanları şüpheli bir şekilde boş kalırken, meşru eklentiler her zaman satıcı tanımlama ve destek kaynaklarını içerir.
Ek olarak, kod ağırlıklı olarak gizlenmiş Base64 içeriği içerir ve özellikle infiltratedocumentStore0460 adlı söylenen bir değişken dahil olmak üzere WooComheic0971 ve PBES2PITR0339 gibi randomize değişken adları kullanır.
Kötü amaçlı yazılım, WordPress eylem kancasını kullanarak her sayfa yükünde yürütülür: add_action (‘wp_login’, ‘octopusjson50286’, 10, 2).
Bu, kullanıcılar WordPress yönetici panelinde kimlik doğrulamaya çalıştığında kimlik bilgisi hasat işlevinin etkinleştirilmesini sağlar.
Eklenti, özellikle yüksek ayrıcalıklı kullanıcılar için avlanan sofistike bir rol tabanlı hedefleme sistemi uygular.
Oturum açma denemeleri üzerine, kötü amaçlı yazılım, önceden tanımlanmış BASE64 kodlu rollere karşı kullanıcı özelliklerini kontrol eder: bwfuywdlx29wdglvbnm = (yönetici seviyesi erişim için manage_options) ve zwrpdf9wywdlcw == (editor-düzeyi erişim için edit_pages).
Oturum açma kimlik bilgileri hedeflenen rollerle eşleştiğinde, eklenti kullanıcı adı, şifre ve kullanıcı özellikleri içeren bir veri dizisi oluşturur.
Bu hassas bilgiler daha sonra WordPress’in yerleşik WP_REMOTE_POST işlevi aracılığıyla harici bir komut ve kontrol sunucusuna iletilir ve kod çözülmüş URL’ye veri gönderilir: https://woocommerce-check.com/report-to.
Kötü niyetli alan woocommerce-check.com 27 Ekim 2024’te, bir Arkansas adresi ancak bir Hong Kong Ülke Kodu (+852.68584411) gösteren şüpheli kayıt ayrıntıları ile potansiyel kayıt sahtekarlığı gösteren kayıtlı.
Hafifletme
Eklenti, yöneticilerden gizli kalmak için gelişmiş kaçırma tekniklerini içerir.
Kendini WordPress eklentileri listesinden kaldırmak için add_action (‘pre_current_active_plugins’, ‘pbes2pitr0339’) eylemini kullanır ve standart yönetici arayüzleri aracılığıyla algılamayı neredeyse imkansız hale getirir.
Kötü amaçlı yazılım, belirli kötü amaçlı kullanıcıların saklanma mekanizmasını atlamalarını sağlayan ve muhtemelen saldırganların meşru yöneticilere görünmez tutarken saldırganların enfeksiyonlarını yönetmesini sağlayan sert kodlanmış bir karma değeri WSXZJIFXGNLNC5V içerir.
WordPress yöneticileri sitelerini çeşitli güvenlik önlemleriyle koruyabilir. Sunucu tarafı tarayıcıları kullanan normal güvenlik denetimleri yetkisiz dosya yüklemelerini algılayacaktır.
Oturum açma sayfalarında iki faktörlü kimlik doğrulama (2FA) veya IP kısıtlamalarının uygulanması, kimlik bilgileri tehlikeye atılsa bile ek koruma katmanları sağlar.
Şüpheli uzlaşmanın ardından, yöneticiler WordPress.org tuz jeneratörünü kullanarak WP-Config.php’deki WordPress tuzlarını derhal güncellemelidir, çünkü bu, saldırganların karma şifreleri düz metne dönüştürmesini önler.
Düzenli eklenti denetimleri ve güncellenmiş yönetici şifrelerinin korunması, bu tür sofistike saldırıları önlemek için temel güvenlik uygulamaları olmaya devam etmektedir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği