Büyük bir kampanya, en az 2017’den beri aktif olduğuna inanılan uzun süredir devam eden bir operasyonun parçası olarak 4.500’den fazla WordPress web sitesine bulaştı.
GoDaddy’nin sahibi olduğu Sucuri’ye göre, bulaşmalar, “track” adlı kötü amaçlı bir etki alanında barındırılan gizlenmiş JavaScript’in enjeksiyonunu içeriyor.[.]Menekşe aşkları[.]com”, ziyaretçileri istenmeyen sitelere yönlendirmek için tasarlanmıştır.
En son operasyon göre 26 Aralık 2022’den beri aktif olduğu söyleniyor veri urlscan.io’dan. Daha önce görülen bir dalga Aralık 2022 başı 3.600’den fazla siteyi etkilerken, başka bir dizi saldırı kaydedildi Eylül 2022 7.000’den fazla siteyi tuzağa düşürdü.
Sahte kod, WordPress index.php dosyasına eklenir ve Sucuri, son 60 gün içinde güvenliği ihlal edilmiş sitelerdeki 33.000’den fazla dosyadan bu tür değişiklikleri kaldırdığını belirtir.
Sucuri araştırmacısı Denis Sinegubko, “Son aylarda, bu kötü amaçlı yazılım kampanyası, kötü şöhretli sahte CAPTCHA push bildirimi dolandırıcılık sayfalarından kademeli olarak, meşru, kabataslak ve tamamen kötü amaçlı web sitelerine yönlendirmeler arasında geçiş yapan siyah şapka ‘reklam ağlarına’ geçiş yaptı.” dedim.
Bu nedenle, şüphelenmeyen kullanıcılar saldırıya uğramış WordPress sitelerinden birine girdiğinde, bir trafik yönlendirme sistemi aracılığıyla bir yönlendirme zinciri tetiklenir ve kurbanlar, ironik bir şekilde istenmeyen reklamları engelleyen ürünler hakkında kabataslak reklamlar sunan sayfalara yönlendirilir.
Daha da rahatsız edici bir şekilde, Crystal Blocker adlı bu tür bir reklam engelleyicinin web sitesi, kullanılan web tarayıcısına bağlı olarak kullanıcıları uzantısını yüklemeleri için yanıltıcı tarayıcı güncelleme uyarıları gösterecek şekilde tasarlanmıştır.
Tarayıcı uzantısı, yaklaşık 110.000 kullanıcı tarafından kullanılıyor. Google Chrome (60.000+), Microsoft Kenarı (40.000+) ve Mozilla Firefox (8.635).
Sinegubko, “Uzantılar gerçekten de reklam engelleme işlevine sahip olsa da, kullanımlarının güvenli olduğunun garantisi yok ve mevcut sürümde veya gelecekteki güncellemelerde açıklanmayan işlevler içerebilir.”
Yönlendirmelerden bazıları, virüs bulaşmış web sitelerinin, arabadan indirmeleri başlatmak için bir kanal görevi gördüğü için, düpedüz hain kategorisine de giriyor.
Bu aynı zamanda Discord CDN’den şifreler, tanımlama bilgileri, tarayıcılardan otomatik doldurma verileri ve kripto cüzdanları gibi hassas verileri yağmalayabilen Raccoon Stealer olarak bilinen bilgi çalan bir kötü amaçlı yazılımın alınmasını da içerir.
Bulgular, tehdit aktörlerinin Google arama sonuçlarındaki kötü amaçlı reklamlar yoluyla hırsızları ve truva atlarını dağıtmak için çeşitli meşru yazılımlar için benzer web siteleri kurmasıyla ortaya çıktı.
Google o zamandan beri engellemek için devreye girdi hileli etki alanlarından biri yönlendirme planına dahil olup, burayı “ziyaretçilerin bilgisayarlarına istenmeyen veya kötü amaçlı yazılımlar” yükleyen güvenli olmayan bir site olarak sınıflandırır.
Bu tür tehditleri azaltmak için, WordPress site sahiplerine şifreleri değiştirmeleri ve yüklü güncellemeleri yapmaları önerilir. temalar ve eklentiler geliştiricileri tarafından kullanılmayan veya terk edilenleri kaldırmanın yanı sıra.