Yan tarayıcılar tarafından tespit edilen yaygın kötü amaçlı yazılım kampanyaları, ortak bir giriş noktası belirlenmeden izinsiz giriş yönteminin araştırılmaya devam ettiği birden fazla web sitesindeki güvenlik açıklarından yararlanıyor.
Kötü amaçlı bir komut dosyası, ‘wpx_admin’ kimlik bilgilerine ve sabit kodlanmış bir parolaya sahip yetkisiz yönetici hesapları oluşturur.
Daha sonra, kötü amaçlı bir WordPress eklentisini indirip etkinleştirerek web sitesini tehlikeye atıyor ve hassas verilerin uzak bir sunucuya sızmasını sağlıyor.”
CreateUser işlevi, WordPress ortamında “wpx_admin” kullanıcı adı ve sabit kodlanmış bir parola ile yeni bir kullanıcı oluşturmaya çalışır.
Öncelikle kullanıcı oluşturma sayfasından CSRF belirtecini alır ve ardından kullanıcı kimlik bilgileri ve CSRF belirteciyle bir POST isteği oluşturur. İşlev, kullanıcı oluşturma işleminin başarısını veya başarısızlığını günlüğe kaydeder.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Uzak bir sunucudan bir eklenti indirir, onu ele geçirilen web sitesinde etkinleştirir ve ardından yönetici kimlik bilgileri ve işlem günlükleri dahil olmak üzere hassas bilgileri, gizlenmiş görüntü istekleri yoluyla başka bir sunucuya göndererek sızdırır.
JSON’u yapılandırmak için kullanarak verileri sızdırdı ve daha iyi tanımlama için kurbanın web sitesi URL’si, zaman damgası ve kullanıcı aracısı gibi ek bilgileri ekledi.
İlk iletim girişiminin başarısız olması durumunda, komut dosyası, başarılı bir şekilde sızmayı sağlamak için bir geri çekilme yeniden deneme mekanizması uygular.
Saldırgan, kötü amaçlı bir eklenti yüklemek için yönetici erişiminden yararlanır. İlk olarak, komut dosyası CSRF belirtecini WordPress eklenti yükleme sayfasından alır. Daha sonra kötü amaçlı eklenti dosyasını uzak bir sunucudan indirir.
C/Side’a göre, edinilen CSRF jetonunu kullanan komut dosyası, indirilen kötü amaçlı eklenti dosyasını kurulum için WordPress sitesine göndererek web sitesini etkili bir şekilde tehlikeye atıyor.
Betik, harici bir kaynaktan bir eklenti alır ve bunu `/wp-admin/update.php?action=upload-plugin` uç noktasına bir POST isteği aracılığıyla kurbanın web sitesine enjekte eder. Güvenlik önlemlerini atlamak için komut dosyası, ilk GET isteğini kullanarak kurbanın web sitesinden bir güvenlik belirteci alır.
Oturum çerezlerine erişmek için kimlik bilgileri ‘dahil’ olarak ayarlanmış şekilde getirme API’sini kullanarak web sitesinin HTML içeriğini getirir ve ardından getirilen içeriği, kötü amaçlı bir eklenti kurulumunu belirten bir ‘wp3.xyz’ dizesinin varlığı açısından kontrol eder.
Bulunursa sendLog işlevi kullanılarak ‘Yük doğrulandı’ mesajını içeren bir başarı mesajı gönderilir. Aksi halde ‘Payload bulunamadı’ mesajını içeren bir hata mesajı gönderilir.
Kötü amaçlı eklentinin, web sitesinin içeriğine kendi ‘wp3.xyz’ kontrol sunucusuna bir referans enjekte ettiği varsayımı, bu doğrulama tekniğinin desteklenmesinin temelini oluşturur.
Kötü amaçlı etki alanı https://wp3 engellenerek saldırının etkisi azaltıldı[.]xyz’nin güvenlik duvarlarına yerleştirilmesi ve yetkisiz kullanıcılar için WordPress yönetici hesaplarının denetlenmesi, şüpheli eklentilerin kaldırılması ve mevcut eklentilerin doğrulanması sağlandı.