Tehdit aktörleri, kötü amaçlı yazılımları yeni bir düzeye yaymak için sahte tarayıcı güncellemelerini kullanan ve çok sayıda WordPress eklentisini kötü amaçlı yazılım dağıtmak için silah haline getiren bir kampanya başlattı. bilgi çalma yükleriBinlerce web sitesine giriş yapmak ve bu sitelere bulaşmak için çalıntı kimlik bilgilerini kullandıktan sonra.
Alan adı kayıt şirketi GoDaddy, ClickFix olarak bilinen sahte tarayıcı güncellemesi görünümündeki yeni bir kötü amaçlı yazılım türünün, 2 Eylül’den 3 Eylül’e kadar bir günlük süre içinde 6.000’den fazla WordPress sitesine bulaştığı konusunda uyarıyor.
GoDaddy baş güvenlik mühendisi Denis Sinegubko, tehdit aktörlerinin “WordPress ekosistemindeki bilinen herhangi bir güvenlik açığıyla” ilgisi olmayan bir saldırı zincirinin parçası olarak ele geçirilen web sitelerine kötü amaçlı eklentiler bulaştırmak için çalıntı WordPress yönetici kimlik bilgilerini kullandığını söyledi. yazdı yakın zamanda yayınlanan bir blog yazısında.
“Bu görünüşte meşru eklentiler, web sitesi yöneticilerine zararsız görünecek şekilde tasarlandı, ancak son kullanıcılara sahte tarayıcı güncelleme istemleri gönderen gömülü kötü amaçlı komut dosyaları içeriyor” diye yazdı.
Kampanya, kötü amaçlı yükleri elde etmek ve iletmek için blockchain ve akıllı sözleşmeleri kullanan ClickFix sahte tarayıcı güncellemelerine yol açan JavaScript enjekte eden sahte WordPress eklentilerinden yararlanıyor. Sinegubko, saldırganların, kullanıcıları tarayıcılarını güncellediklerini düşünmeleri için kandırmak için sosyal mühendislik stratejilerini kullandıklarını, ancak bunun yerine kötü amaçlı kod çalıştırdıklarını ve “sonuçta çeşitli türde kötü amaçlı yazılım ve bilgi hırsızlarıyla sistemlerini tehlikeye attıklarını” açıkladı.
İlgili, Ancak Ayrı Kampanyalar
Şunu belirtmek gerekir ki ClearFakeNisan ayında yaygın olarak tanımlanan , meşru web sitelerini kötü amaçlı HTML ve JavaScript ile tehlikeye sokan başka bir sahte tarayıcı güncelleme etkinliği kümesidir. Başlangıçta Windows sistemlerini hedef aldı ancak daha sonra macOS’a yayıldı ilave olarak.
Araştırmacılar ClickFix’i ClearFake’e bağladı ancak kampanyalar çeşitli analistlerin tanımladığı şekliyle çok sayıda farklılığa sahip ve muhtemelen ayrı faaliyet kümeleridir. GoDaddy, ClickFix kötü amaçlı yazılım kampanyasını Ağustos 2023’ten bu yana izlediğini ve dünya çapında güvenliği ihlal edilmiş 25.000’den fazla sitede tespit ettiğini iddia ediyor. Proofpoint’teki diğer analistler ayrıntılı ClickFix ilk kez bu yılın başında.
GoDaddy tarafından açıklanan yeni ClickFix çeşidi, gönderiye göre “Gelişmiş Kullanıcı Yöneticisi” ve “Hızlı Önbellek Temizleyici” gibi genel adlara sahip sahte WordPress eklentileri aracılığıyla sahte tarayıcı güncelleme kötü amaçlı yazılımlarını yayıyor.
Sinegubko, “Bu görünüşte meşru eklentiler, web sitesi yöneticilerine zararsız görünecek şekilde tasarlandı, ancak son kullanıcılara sahte tarayıcı güncelleme istemleri gönderen gömülü kötü amaçlı komut dosyaları içeriyor” diye yazdı.
Eklenti adı, URL, açıklama, sürüm ve yazar da dahil olmak üzere eklenti meta verilerindeki tüm bilgiler sahtedir, ancak GoDaddy’ye göre ilk bakışta makul görünmektedir ve hemen şüphe uyandırmaz.
Kampanyayı Ölçeklendirmek İçin Kullanılan Otomasyon
Daha ileri analizler, eklentilerin adlandırma kurallarında otomasyon olduğunu tespit etti; araştırmacılar, eklenti adındaki her kelimenin ilk harfinden oluşan ve “-script.js” ekinden oluşan bir JavaScript dosya adlandırma düzenine dikkat çekti.
Örneğin, bu adlandırma kuralını kampanyayla ilgili Easy Themes Manager, Content Blocker gibi diğer kötü amaçlı eklentileri tespit etmek için kullanan araştırmacılara göre Advanced User Manager eklentisi aum-script.js dosyasını içeriyor. ve Özel CSS Enjektörü.
Eklenti ve yazar URI’leri de sıklıkla GitHub’a referans veriyor ancak analizler, eklentiyle ilişkili depoların aslında var olmadığını gösterdi. Ayrıca Sinegubko, GitHub kullanıcı adlarının, eklenti adlarıyla bağlantılı sistematik bir adlandırma kuralını izlediğini ve bunun “bu kötü amaçlı eklentilerin oluşturulmasının arkasında otomatik bir süreci işaret ettiğini” yazdı.
Gerçekten de, araştırmacılar sonunda eklentilerin ortak bir şablon kullanılarak sistematik olarak oluşturulduğunu keşfettiler; bu da “tehdit aktörlerinin, WordPress sayfalarına JavaScript dosyalarını enjekte etmek için tasarlanmış meta veriler ve gömülü kodla tamamlanan çok sayıda makul eklenti adını hızlı bir şekilde üretmesine” olanak tanıyor. Sinegubko yazdı. Bu, saldırganların kötü amaçlı operasyonlarını ölçeklendirmesine ve tespit için ek bir karmaşıklık katmanı eklemesine olanak tanıdı.
İlk Giriş Olarak Kimlik Bilgisi Hırsızlığı mı?
GoDaddy, saldırganların en son ClickFix kampanyasını başlatmak için WordPress yönetici kimlik bilgilerini nasıl elde ettiği konusunda net değil ancak potansiyel vektörlerin meşru şifreler ve kullanıcı adlarını ele geçirmeyi amaçlayan kaba kuvvet saldırıları ve kimlik avı kampanyalarını içerdiğini belirtti.
Üstelik kampanyanın yükleri de kurulum olduğundan çeşitli bilgi hırsızları Sinegubko, güvenliği ihlal edilmiş son kullanıcı sistemlerinde tehdit aktörlerinin yönetici kimlik bilgilerini bu şekilde toplamasının mümkün olduğunu gözlemledi.
“Bilgi hırsızlarından bahsederken birçok kişinin aklına banka kimlik bilgileri, kripto cüzdanlar ve bu nitelikteki diğer şeyler gelir, ancak çoğu hırsız çok daha geniş bir program yelpazesinden bilgi ve kimlik bilgisi toplayabilir” dedi.
Bir diğer olası senaryo ise sahte eklentilerin yüklendiği konut IP adreslerinin bir başkasına ait olabilmesidir. virüslü bilgisayarların botnet’i GoDaddy’ye göre saldırganlar web sitelerini hacklemek için proxy olarak kullanıyor.
Kampanya, WordPress sitelerinde oturum açmak için meşru kimlik bilgilerinin çalınmasını içerdiğinden, insanlardan şifrelerini korumak için genel en iyi uygulamaları takip etmeleri ve bilinmeyen web siteleri veya kendilerinden özel kimlik bilgilerini açıklamalarını isteyen mesajlarla etkileşimde bulunmaktan kaçınmaları isteniyor.
GoDaddy ayrıca blog gönderisinde eklentilerin ve kötü amaçlı JavaScript dosyalarının adları, kampanyadaki akıllı sözleşmelerin bağlandığı uç noktalar ve ilişkili GitHub hesapları dahil olmak üzere kampanya için uzun bir güvenlik ihlali göstergeleri (IoC’ler) listesi ekledi. bir web sitesinin tehlikeye girip girmediğini belirleyebilir.