“WP-Runtime Cache” olarak adlandırılan yeni tanımlanmış kötü niyetli bir eklenti, WordPress sitelerini yönetici kimlik bilgilerini çalmak için sofistike bir yöntemle hedefleyen keşfedildi.
Önbellek eklentisi olarak gizlenen bu kötü amaçlı yazılım, WPPress yönetici panelinin eklenti listesinden saklanarak algılamadan kaçınan WP-Content/Eklentiler Dizini’nde gizlenir.
WP-Admin arayüzünde tipik olarak görünür ayarlar veya yönetim seçenekleri sunan meşru önbellek eklentilerinin aksine, bu sahte eklenti, rutin kötü amaçlı yazılım taramaları sırasında hemen şüphe uyandıran bu tür özellikler sunmaz.
.png
)
Daha yakından incelendiğinde, eklenti dizini sadece tek bir dosya, wp-runtime-cache.php içerir, otantik eklentilerin çoklu dosya yapısıyla keskin bir kontrast, kötü niyetli niyete işaret eder.
Kötü amaçlı yazılım nasıl çalışır
Teknik analiz, ürpertici bir şekilde etkili bir mekanizmayı ortaya koymaktadır. Eklenti, site giriş olayları sırasında etkinleştirilir. add_action('wp_login', 'octopusJson50286', 10, 2) kanca, site yüklenirken kullanıcı girişini yakalama.
Gömülü Base64 dizelerinden kodlanmış, “Manage_options” (Yönetici Seviyesi) ve “Edit_Pages” (Edit_Pages ”(editör seviyesi) gibi rolleri kontrol ederek özellikle yüksek ayrıcalıklı kullanıcıları hedefler.
Oturum açmış kullanıcı bu rollerle eşleşiyorsa, eklenti, kullanıcı adları ve şifreler de dahil olmak üzere bir dizi hassas veri oluşturur ve onu uzak bir sunucuya pessatlar https://woocommerce-check[.]com/report-to WordPress’in yerleşik kullanımı wp_remote_post işlev.
Eklenti, varlığını tetikleyen ikincil bir fonksiyonla daha da gizler. add_action('pre_current_active_plugins', 'pbes2PITR0339')Mali olmayan kullanıcılar için görünmez kalacak şekilde eklenti listesini manipüle eden.
Gibi rastgele değişken adlar gibi kod gizleme teknikleri infiltrateDocumentStore0460 ve Base64 kodlu içerik, lisans koruması için premium eklentilerde kullanılan meşru gizlemeden ayıran kullanılır.
Hong Kong merkezli istismar iletişim numarası (+852.685884411) ile ABD’nin Arkansas kentinde kaydedilen 27 Ekim 2024’te kayıtlı veri eksfiltrasyonu için kullanılan alan adı, saldırganların kökenlerini gizlemek için kasıtlı bir girişim önermektedir.
Bu tür yeni kayıtlı alanlar, siber suçlular arasında itibar tabanlı algılama sistemlerini atlamak için yaygın bir taktiktir.
WordPress sitenizi korumak
Rapora göre, bu saldırı proaktif güvenlik önlemlerine yönelik kritik ihtiyacın altını çiziyor. WordPress yöneticileri, yetkisiz dosya yüklemelerini algılamak için SURURI gibi sunucu tarafı tarayıcılarından veya güvenlik eklentilerinden yararlanarak eklentileri ve kullanıcı hesaplarını düzenli olarak denetlemelidir.
İki faktörlü kimlik doğrulama (2FA) ve IP tabanlı giriş kısıtlamalarının uygulanması, kimlik bilgileri tehlikeye atılsa bile yetkisiz erişimi engelleyebilir.
Ek olarak, wp-config.php dosyasındaki WordPress tuzlarının güncellenmesi, WordPress.org’un tuz jeneratörü aracılığıyla kolayca üretilen hayati yeni tuzlardır, daha önce yakalanan karma şifreleri geçersiz kılar, saldırganların çözülmesini önler.
Bu olay, siber tehditlerin gelişen karmaşıklığını ve kritik site erişimini korumak için katman savunmalarının önemini açık bir şekilde hatırlatıyor.
Dikkatli kalmak ve güncellenmiş güvenlik protokollerinin korunması, güvenli bir site ve felaket ihlali arasındaki fark anlamına gelebilir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun