Malwarebytes’ten siber güvenlik araştırmacıları bir dizi WordPress keşfetti (yeni sekmede açılır) güvenliği ihlal edilmiş ve sessizce reklam trafiği oluşturan kötü amaçlı bir eklenti bulaşmış web siteleri.
Bir blog yazısında (yeni sekmede açılır) Bulgularını detaylandırarak, “birkaç düzine” WordPress web sitesinin ihlal edildiği ve saldırının arkasında her kimse “fuser-master” adlı bir arka kapı kurduğu söylendi.
Fuser-master tam bir iş parçası. Önce belirli bir URL oluşturur ve bir kullanıcı bunu tıklarsa meşru bloga yönlendirilir, ancak bir popunder sayfasıyla birlikte. Farklı bir sayfadan satın alınan bu popunder, çeşitli reklamlar sunacaktır.
İnsan davranışını taklit etmek
WordPress eklentisi daha sonra bir reklama tıklamadan önce sayfada biraz gezinerek insan davranışını taklit eder. Kullanıcı etrafta gezinirse, fareyi hareket ettirirse veya herhangi bir şeye tıklarsa, eklenti etkinliğini durdurarak varlığını daha da gizler.
Popunder sayfasının da zaman zaman kendini yenilediği ve bu süreçte ek reklamlar yüklediği söylendi. Ayrıca, ziyaretçi tarayıcıyı kapatır ve açılır pencereyi görürse, herhangi bir hareket etkinliği durur.
Toplamda Malwarebytes, Fuser-Master ile güvenliği ihlal edilmiş 50 blog buldu. Sitelerden birinin yalnızca Ocak ayında 4 milyon kadar ziyaret edildiğini söyleyen araştırmacılar, bu dönemde ortalama ziyaret süresinin yaklaşık 25 dakika olduğunu da sözlerine ekledi.
Fuser-master’ın yazarları kimliklerini gizlemek için çok yol kat ettiler. Eklenti yalnızca gizlemek için çok uğraşmakla kalmıyor, aynı zamanda herhangi bir yerde eklenti, yazar adı veya bir indirme sitesi için herhangi bir referans bulmak imkansızdı. Malwarebytes araştırmacılarının bulmayı başardığı tek şey, themeinfo.com’da bir WordPress tema algılayıcısından bahsediliyor.
İlk bakışta, oradaki blogların çoğu meşru görünüyor. Ancak, bir kullanıcı belirli URL’yi ve diğer parametreleri girdiğinde, site bir reklam sahtekarlığı merkezine dönüşür.