Siber güvenlik araştırmacıları, kredi kartı detaylarını, kullanıcı girişlerini ve hatta profil oluşturan kurbanları çalabilen WordPress web sitelerini hedefleyen son derece gelişmiş bir kötü amaçlı yazılım kampanyası keşfettiler.
16 Mayıs 2025’te WordFence Tehdit İstihbarat Ekibi tarafından keşfedilen bu kötü amaçlı yazılım, aldatıcı bir WordPress eklentisi olarak paketlenir ve daha önce hiç görülmemiş bir önleme yöntemlerini kullanır. Özellikle yenilikçi bir taktik, doğrudan enfekte olmuş web sitelerinde bir canlı yönetim sistemine ev sahipliği yapmayı ve tespit edilmeyi zorlaştırıyor.
Uzun süredir devam eden ve büyüyen bir tehdit
Bu sofistike operasyon en azından Eylül 2023’ten beri aktif, WordFence’ın resmi blog yayınını ortaya koyuyor. Araştırmacılar, 20’den fazla kötü amaçlı yazılım örneğini analiz ettiler, kod karıştırma, analizden kaçınmak için teknikler ve geliştirici araçlarını algılama yolları da dahil olmak üzere tüm sürümlerde paylaşılan özellikleri ortaya çıkardılar.
Örneğin, kötü amaçlı yazılım gizli kalmak için yönetici sayfalarında çalıştırmaktan akıllıca kaçınır ve yalnızca ödeme ekranlarında etkinleştirilir. Daha yeni sürümler sahte ödeme formları oluşturur ve kullanıcıları kandırmak için CloudFlare güvenlik kontrollerini taklit eder. Çalıntı bilgiler genellikle görüntü web adresleri olarak gizlenir.
Araştırmacılar, ödeme bilgilerini çalmanın ötesinde, her biri farklı hedeflere sahip bu kötü amaçlı yazılımın üç diğer sürümünü de buldular. Bir sürüm, mobil kullanıcılara sahte reklamlar göstermek için Google reklamlarıyla uğraştı. Bir diğeri WordPress giriş detaylarını çalmak için tasarlandı.
Üçüncü bir sürüm, web sitelerindeki meşru bağlantıları kötü niyetli olanlara değiştirerek daha fazla kötü amaçlı yazılım yayar. Bu çeşitli işlevlere rağmen, temel yazılım çerçevesi tutarlı kaldı ve her bir özel saldırı için özelliklerini uyarladı. Bazı sürümler, çalınan verileri gerçek zamanlı olarak göndermek ve kullanıcı eylemlerini izlemek için mesajlaşma uygulaması telgrafını bile kullandı.
“İncelenen bir örnek ayrıca, hem kullanıcı aldatma cihazı hem de bir anti-bot filtresi olarak hizmet etmeyi amaçlayan, dinamik olarak tam ekran ve çok dilli bir ekran olarak enjekte edilen şaşırtıcı derecede eksiksiz bir sahte insan doğrulama meydan okumasını da içeriyor. kimliğe bürünme, daha önce nadiren karşılaşılan bir karmaşıklığın ortaya çıkması. ”
Paolo Tresso – WordFence
Rogue WordPress Core eklentisi
Bir anahtar keşif, adlı sahte bir WordPress eklentisiydi WordPress Core. Zararsız görünürken, yağlama için gizli JavaScript kodu ve saldırganların çalınan verileri doğrudan tehlikeye atılan web sitesinden yönetmesine izin veren PHP komut dosyaları içeriyordu.
Bu haydut eklentisi, hileli emirleri tam olarak işaretlemek için popüler bir e-ticaret platformu olan WooCommerce’in belirli özelliklerini de kullandı. Gizli yönetim sistemi, özel bir “Mesajlar” bölümü altında kategorize edilen WordPress içinde çalınan ödeme verilerini depolar.
Bu tehdide karşı korunmak için, web sitesi yöneticileri, saldırganlara bağlı belirli alan adları da dahil olmak üzere uzlaşma belirtileri aramalıdır. api-service-188910982.website Ve graphiccloudcontent.com. WordFence, bu kötü amaçlı yazılım için 17 Mayıs ve 15 Haziran 2025 arasında premium kullanıcılara algılama imzaları yayınladı ve ücretsiz kullanıcılar standart 30 günlük gecikmeden sonra bunları aldı.