.webp)
Sucuri, ziyaretçileri sahte Soru-Cevap tartışma panolarına yönlendirmek için büyük bir siyah şapka SEO kampanyasının parçası olarak yaklaşık 15.000 web sitesini tehlikeye atan bilgisayar korsanlarını gözlemledi.
“Araştırma ekibimiz, web sitesi ziyaretçilerini ois aracılığıyla sahte Soru-Cevap sitelerine yönlendiren WordPress kötü amaçlı yazılımlarındaki bir artışı izledi.[.]dır-dir. Bu kötü niyetli yönlendirmeler, saldırganın sitelerinin arama motorları için yetkisini artırmak için tasarlanmış gibi görünüyor”, Sucuri
Bu Kampanya Tarafından Tanıtılan Sahte Soru-Cevap Sitesi
Bu durumda, saldırganların bir avuç sahte düşük kaliteli Soru-Cevap sitesini tanıttığı tespit edilir. Kötü amaçlı SEO yönlendirmesi, bir web sitesini ele geçirmek ve kaynaklarını (özellikle web sitesi trafiğini ve sıralamalarını) kötüye kullanmak için yapıldıkları için kötü amaçlı yazılım olarak kabul edilir.
Saldırganlar sıklıkla ilaç şirketleri, makale yazma hizmetleri, taklit tasarım ürünleri veya bu durumda sahte Soru-Cevap web siteleri için spam reklamı yapar.
Google Arama’nın ilk sayfasındaki kısa bir işlemin bile birkaç enfeksiyona neden olacağı göz önüne alındığında, kampanyanın bu web sitelerini gelecekte kötü amaçlı yazılım düşürücüler veya kimlik avı siteleri olarak kullanıma hazırlaması muhtemeldir.
Özellikle açılış sayfalarında “ads.txt” dosyasının bulunmasına bağlı olarak, bir başka olasılık da sahiplerinin reklam sahtekarlığı yapmak için trafiği artırmaya çalışıyor olmalarıdır.
Raporlar, WordPress çekirdek dosyalarının en sık etkilenen dosya olduğunu söylüyor, ancak bu kötü amaçlı yazılımın ilgisiz kötü amaçlı yazılım kampanyaları tarafından oluşturulan kötü amaçlı.php dosyalarına da bulaştığı bildiriliyor.
En Sık Etkilenen 10 Dosya
- ./wp-kayıt[.]php
- ./wp-cron[.]php
- ./wp-links-opml[.]php
- ./wp-ayarları[.]php
- ./wp-yorum-yazısı[.]php
- ./wp-posta[.]php
- ./xmlrpc[.]php
- ./wp-etkinleştir[.]php
- ./wp-geri izleme[.]php
- ./wp-blog-header[.]php
Araştırmacılar, saldırganların ‘wp-logln.php’ gibi rastgele veya sözde meşru dosya adlarını kullanarak hedeflenen siteye kendi PHP dosyalarını da bıraktığını söylüyor.
Etkilenen veya enjekte edilen dosyalarda bulunan kötü amaçlı kod, web sitesi ziyaretçilerinin WordPress’te oturum açıp açmadığını kontrol eder; değilse, onları https://ois.is/images/logo-6 URL’sine gönderir.[.]png
Ancak tarayıcılar bu URL’den bir resim almayacak; bunun yerine JavaScript yüklenecek ve kullanıcılar, onları tanıtılan Soru-Cevap sitesine gönderen bir Google arama URL’sine gönderilecektir.
Web sitelerinin popülermiş gibi görünmesini sağlamak ve arama sonuçlarındaki sıralamalarını iyileştirmek için, bir Google arama tıklama URL’sinin kullanılması, Google Dizinindeki URL’lerdeki performans metriklerini artırması muhtemeldir. Ayrıca, Google arama tıklama URL’leri üzerinden yönlendirme, bazı güvenlik yazılımlarını atlayarak trafiğin daha meşru görünmesini sağlar.
Araştırmacılar, yönlendirildikleri web sitelerini döndüren saldırganları fark ettiler. Bu nedenle, aşağıdaki yönlendirme hedeflerini belirlediler:
- tr.w4ksa[.]com
- barış.yoğurt[.]com
- qa.bb7r[.]com
- tr.ajeel[.]mağaza
- qa.istisharat[.]com
- tr.fotosevgili kız[.]com
- tr.poxnel[.]com
- qa.tadalafilhot[.]com
- sorular.rawafedpor[.]com
- qa.elbwaba[.]com
- sorular.ilk hedef[.]com
- qa.cr-helal[.]com
- qa.aly2um[.]com
İlgilenenler, 1.137 girişin tam listesini bulabilirler.
Son söz
Sucuri, yönlendirmeler için kullanılan alanların tehdit aktörleri tarafından nasıl ele geçirildiğini belirleyemedi. Bununla birlikte, büyük olasılıkla, güvenlik açığı bulunan bir eklentinin kullanılması veya WordPress yönetici şifresinin kaba zorlanması yoluyla gerçekleşir.
Bu nedenle, tüm WordPress eklentilerinin ve web sitesi CMS’sinin en son sürüme güncellenmesi ve yönetici hesapları için iki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesi önerilir.