Siber güvenlik araştırmacıları, kötü amaçlı yazılımları güvenlik eklentisi olarak gizleyen WordPress sitelerini hedefleyen yeni bir kampanyaya ışık tuttular.
“WP-ANDYMalwary-Bot.php” adıyla geçen eklenti, erişimi korumak, yönetici panosundan gizlemek ve uzaktan kod yürütmek için çeşitli özelliklerle birlikte gelir.
WordFence’den Marco Wotschka bir raporda, “Bir komut ve kontrol (C&C) sunucusuna rapor verebilecek ping işlevselliği de, kötü amaçlı yazılımları diğer dizinlere yaymaya yardımcı olan ve reklamlar sunmaktan sorumlu kötü niyetli JavaScript enjekte eden kodlar da dahil edilmiştir.” Dedi.
İlk olarak Ocak 2025’in sonlarında bir site temizleme çabası sırasında keşfedilen kötü amaçlı yazılımlar o zamandan beri vahşi doğada yeni varyantlarla tespit edildi. Eklenti için kullanılan diğer isimlerden bazıları aşağıda listelenmiştir –
- Addons.php
- wpconsole.php
- WP-Performance-Booster.php
- Scr.php
Kurulduktan ve etkinleştirildikten sonra, tehdit aktörleri yöneticisinin gösterge tablosuna erişimini sağlar ve Site temasının başlık dosyasına kötü niyetli PHP kodu enjekte ederek veya popüler önbellek eklentilerinin önbelleklerini temizleyerek uzaktan kod yürütülmesini kolaylaştırmak için REST API’sını kullanır.
Kötü amaçlı yazılımın yeni bir yinelemesi, kodu enjeksiyonlarının işlendiği şekilde dikkate değer değişiklikler içerir ve reklam veya spam sunmak için başka bir uzlaşmış alanda barındırılan JavaScript kodunu getirir.
Eklenti ayrıca, eklentiler dizininden kaldırılması durumunda bir sonraki site ziyaretinde kötü amaçlı yazılımları otomatik olarak yeniden oluşturan ve yeniden etkinleştiren kötü amaçlı bir WP-cron.php dosyası ile tamamlanır.
Şu anda sitelerin kötü amaçlı yazılımları teslim etmek için nasıl ihlal edildiği veya kampanyanın arkasında kimin olduğu açık değil. Ancak, Rus dili yorumlarının ve mesajlarının varlığı muhtemelen tehdit aktörlerinin Rusça konuştuğunu göstermektedir.
Açıklama, Sucuri’nin “ItalicFonts[.]Org “ödeme sayfalarında sahte bir ödeme formu görüntülemek, bilgi çaldı ve verileri saldırganın sunucusuna eklemek.
Web sitesi güvenlik şirketi tarafından incelenen bir başka “gelişmiş, çok aşamalı kart saldırısı”, çok çeşitli hassas bilgileri toplamak için tasarlanmış JavaScript kötü amaçlı yazılımlarla Magento e-ticaret portallarını hedeflemeyi içerir.
Güvenlik araştırmacısı Ben Martin, “Bu kötü amaçlı yazılım sahte bir GIF görüntü dosyası, yerel tarayıcı oturumu seansStorage verileri kullandı ve ödün verilen web sitesinden kredi kartı verileri, giriş bilgileri, çerez ve diğer hassas verilerin çalınmasını kolaylaştırmak için kötü niyetli bir ters proxy sunucusu kullanarak web sitesi trafiğine kurcalandı.” Dedi.
GIF dosyası, gerçekte, gelen istekleri yakalayarak ve bir site ziyaretçisi ödeme sayfasına indiğinde gerekli bilgileri toplamak için kullanan bir PHP komut dosyasıdır.
Rakipler ayrıca, istenmeyen reklamlar sunmak ve tıklama başına veya uygulama başına gelir elde etmek amacıyla çeşitli yerlerde en az 17 WordPress sitesine Google Adsense kodu enjekte ettiği gözlemlenmiştir.
Güvenlik araştırmacısı Puja Srivastava, “Sitenizin kaynaklarını reklamlara devam etmek için kullanmaya çalışıyorlar ve daha da kötüsü, AdSense’i kendiniz kullanıyorsanız reklam gelirinizi çalıyor olabilirler.” Dedi. “Kendi Google Adsense kodlarını enjekte ederek sizin yerine ödeme alıyorlar.”
Hepsi bu değil. Meydan okulu web sitelerinde sunulan aldatıcı captcha doğrulamalarının, kullanıcıları SOCKS5 proxy’leri aracılığıyla kötü niyetli trafik tüneline tünel yapmak için tasarlanmış sistem bilgilerini toplayan, uzaktan erişim sağlayan ve bir Node.js uzaktan erişim truva (sıçan) dağıtan node.js tabanlı arka planları indirme ve yürütme konusunda kandırdığı bulunmuştur.
Etkinlik, TrustWave SpiderLabs tarafından Kongtuke (AKA 404 TDS, Chaya_002, Landupdate808 ve TAG-124) adı verilen bir trafik dağıtım sistemine (TDS) bağlanmıştır.
Güvenlik araştırmacısı Reeg Jayapaul, “Enfeksiyon sonrası enfeksiyonda bırakılan JS komut dosyası, ayrıntılı sistem keşfi, uzak komutlar yürütme, tünel ağ trafiği (SOCKS5 vekil) ve gizli, kalıcı erişimi sürdürebilen çok fonksiyonlu bir arka kapı olarak tasarlandı.” Dedi.