JavaScript Tabanlı Kripto Madenciliğin Yükselişi
Son zamanlarda, JavaScript tabanlı kripto madenciliği, dünya genelinde 3,500’den fazla web sitesine sızarak dikkat çekiyor. Bu durum, kullanıcıların bilgi ve rızası dışında, bilgisayarlarının kaynaklarını kullanarak kripto para madenciliği yapmalarına neden olan gizli madencilik (cryptojacking) saldırılarının bir tekrarını işaret ediyor.
Önceden CoinHive gibi platformlarla popüler hale gelen bu tür saldırılar, tarayıcı üreticilerinin madenci uygulamalarını ve eklentilerini yasaklamasıyla sona ermişti. Ancak, araştırmacılar c/side’dan, karmaşık hale getirilmiş JavaScript içeren bir gizli madenci tespit etti. Bu madenci, bir cihazın işlem gücünü değerlendirerek, arka planda Web Workers oluşturarak madencilik görevlerini paralel bir şekilde yürütüyor. Bu süreç, kullanıcıların veya güvenlik araçlarının dikkatini çekmeden gerçekleşiyor.
WebSocket Kullanımı ile Gizlilik Üst Düzeyde
Bu saldırıların en dikkat çekici yönü, WebSockets kullanarak madencilik görevlerini dış bir sunucudan almasıdır. Böylece, madencilik yoğunluğu dinamik bir şekilde cihazın kapasitesine göre ayarlanabiliyor. Araştırmacılar, saldırganların bu yönetimle, kaynak tüketimini azaltıp gizliliği korumayı başardığını tespit etti.
Güvenlik araştırmacısı Himanshu Anand, “Bu bir gizli madenci, kullanıcılar ve güvenlik araçları tarafından tespit edilmeden kalmak için tasarlanmış” dedi. Kullanıcılar, bu tür web sitelerinde gezinirken büyük olasılıkla bilgisayarlarının kripto para madenciliği yaptığının farkında değil.
Kompromize Edilen Web Sitelerinin Tespiti
Yapılan araştırmalarda, toplamda 3,500’den fazla web sitesinin bu yasa dışı kripto madencilik operasyonuna dahil olduğu belirlenmiştir. JavaScript madencisini barındıran alan adı, geçmişte Magecart kredi kartı hırsızları ile ilişkilendirilmiş. Bu durum, saldırganların yüklerini ve gelir akışlarını çeşitlendirdiğinin bir göstergesidir.
Aynı alan adlarının hem madenci hem de kredi/debit kartı bilgilerini çalan betikleri dağıtması, saldırganların JavaScript’i silahlandırma yeteneklerini ve sorgusuz sualsiz site ziyaretçilerine yönelik fırsatçı saldırılar gerçekleştirme becerilerini ortaya koyuyor.
Dijital Vampirler ve Süreklilik
Saldırganlar, kaynakları anında çalmak yerine, gizlilik odaklı bir yöntem benimsemektedir. “Gizlilik, saldırganların önceliği ve bu durumu başarmak için karmaşık yöntemler kullanıyorlar. Anında kullanım yerine süreklilik hedefleniyor; bu tür saldırılar, dijital vampirler gibi.” c/side ekibinin açıklamaları, durumun ciddiyetini gözler önüne seriyor.
Bu durum, sadece kripto madenciliği ile sınırlı kalmamakla birlikte, benzer stratejilerle finansal bilgi hırsızlığı da gerçekleştirdiği görülüyor. Özellikle, Doğu Asya merkezli e-ticaret sitelerini hedef alan Magecart skimming kampanyaları, sahte ödeme formları aracılığıyla mağdurların finansal bilgilerini toplamaktadır.
Çeşitli Saldırı Yöntemleri ve Stratejileri
Son haftalarda, web sitelerine ve istemci tarafı saldırılarına yönelik farklı yöntemler tespit edilmiştir:
- JavaScript Gömme: Mevcut bir Google OAuth uç noktası ile etkileşime geçerek kötü amaçlı bir JavaScript yüklemesi gerçekleştiren yöntemler.
- Google Tag Manager Kullanımı: WordPress veri tabanına doğrudan zarar verme amacıyla eklenen kötü amaçlı kodlar.
- WordPress Dosyalarının Kompromize Edilmesi:
wp-settings.phpdosyasında kötü amaçlı PHP kodlarının eklenmesi. - Yanlış WordPress Eklentileri: Sahte eklentilerin kullanılmasıyla arka kapıların açılması ve sistemlerin kontrol altına alınması.
Ayrıca, Gravity Forms’un resmi indirme sayfası üzerinden gerçekleşen bir taşıma zinciri saldırısı, uzaktan yük almak üzere dış bir sunucuya bağlanarak kullanıcılara zarar vermektedir.
Saldırılara Karşı Alınabilecek Önlemler
Bu tür saldırılara karşı önlem almak için web yöneticilerinin ve kullanıcıların dikkat etmesi gereken bazı temel noktalar bulunmaktadır. İlk olarak, güvenlik yamalarının zamanında güncellenmesi ve web sitelerinin düzenli olarak güvenlik denetiminden geçirilmesi önemlidir. Ayrıca, yetkisiz üçüncü parti kaynaklardan gelen eklenti ve temaların kullanılmaması önerilmektedir.
Güçlü bir güvenlik duvarı kurulması, kötü amaçlı yazılımlara ve saldırılara karşı bariyer oluşturacaktır. Kullanıcıların, tarayıcı güvenlik ayarlarını geliştirmesi ve casus yazılımlara karşı koruma yazılımları kullanmaları da bu tür saldırıların etkisini minimize etmede yardımcı olacaktır.
