WordPress Sitelerini Tehdit Eden Kötü Amaçlı JavaScript Saldırıları
Son günlerde siber güvenlik araştırmacıları, WordPress sitelerine yönelik kötü amaçlı bir kampanyayı gündeme taşıdı. Bu kampanyanın hedefi, kullanıcıları şüpheli sitelere yönlendiren JavaScript enjeksiyonları yapmak. Sucuri araştırmacısı Puja Srivastava, bir analizle bu durumu ortaya koydu. Analizinde, ziyaretçilere eklenen içerikler arasında sahte Cloudflare doğrulaması gibi drive-by malware örnekleri bulunduğu belirtildi.
Araştırma, Sucuri’nin bir müşterisinin WordPress sitesinin, ziyaretçilerine şüpheli üçüncü taraf JavaScript sunduğunu keşfetmesiyle başladı. Yapılan incelemeler, saldırganların bir tema ile ilgili dosyaya (functions.php) kötü amaçlı değişiklikler eklediğini ortaya çıkardı. Bu dosyadaki kod, Google Ads’i referans alarak tespit edilmekten kaçınma amacını taşımaktadır. Ancak, aslında bu kod, HTTP POST isteği göndererek “brazilc[.]com” domainine bağlanmakta. Bu alan adı, dinamik bir yük ile geri dönüş yaparak, iki ana bileşen içermektedir:
- Uzak sunucuda barındırılan JavaScript dosyası (“porsasystem[.]com”), bu yazının yazıldığı tarihte 17 web sitesinde referans alınmış ve site yönlendirmeleri gerçekleştirmek üzere programlanmıştır.
- Gizli bir 1×1 piksel iframe oluşturan JavaScript kodu, buraya Cloudflare gibi meşru görünümlü içerikler ekleyen bir kod enjeksiyonu yapmaktadır.
Bu tür kötü amaçlı eylemlerin önlenebilmesi için, WordPress sitelerinin güvenliğinin artırılması, eklentilerin ve temaların güncel tutulması büyük önem taşımaktadır.
IUAM ClickFix Oluşturucusu ile Tehditler Artıyor
Palo Alto Networks’ün Unit 42 bölümü, saldırganların ClickFix sosyal mühendislik tekniğini kullanarak kullanıcıları enfekte etmesine olanak tanıyan bir phishing kit olan IUAM ClickFix Generator’ı detaylandırdı. Bu araç, zararlı yazılım dağıtan özelleştirilebilir açılış sayfaları oluşturmaya imkan tanımaktadır. Araştırmacı Amer Elsad, bu aracın tehdit aktörlerinin, bulut güvenlik sağlayıcıları tarafından yaygın olarak kullanılan tarayıcı doğrulama sayfalarını taklit eden aldatıcı arayüzler oluşturmasına yardımcı olduğunu belirtti.
Bu özgün phishing sayfaları, panoya müdahale etme yeteneğine sahip olup, enfeksiyon süreçlerini uygun hale getirmek için işletim sistemini tespit edebilmektedir. Bu kitin kullanıldığı iki farklı vakada, DeerStealer ve Odyssey Stealer gibi bilgi çalıcı yazılımlar tespit edilmiştir. Microsoft’un 2024 sonlarından itibaren, ticari ClickFix yapıcılarına dair uyarılarının artması, bu kitin tehlikelerinin altını çizmektedir.
Cache Smuggling ile ClickFix Gizleniyor
Araştırmalar, ClickFix saldırı formülünü yenileyen yeni bir kampanyanın, cache smuggling olarak adlandırılan bir teknik kullandığını göstermektedir. Bu teknik, hedefte herhangi bir kötü amaçlı dosya indirilmeden önce kullanıcıların tarayıcılarında zararlı verileri saklama yöntemidir. Expel ana tehdit araştırmacısı Marcus Hutchins, bu kampanyanın, kötü amaçlı scriptin dosya indirmeden ya da internetle iletişim kurmadan gerçekleştirildiğini belirtti.
Belirli bir örnekte, ClickFix temalı sayfa, Fortinet VPN Uyum Kontrolü olarak maskelenmiştir. Kullanıcılara, Windows Dosya Gezgini’ni açmaları ve adres çubuğuna kötü amaçlı bir komut yapıştırmaları yönünde kandırıcı bir yaklaşım sergilemektedir. Bu komut, güçlendirilmiş bir PowerShell scriptini çalıştıracaktır. Önemli olan, bu script’in ek bir kötü amaçlı yazılım indirip indirmediğidir. Bunun yerine, tarayıcıda önceden önbelleğe alınmış JPEG görünümündeki bir dosya gibi davranıyor.
Bu tür yöntemler, siber kriminaliteleri koruma altına almak için alınan tedbirleri aşma kabiliyeti taşımaktadır. Cache smuggling, kullanıcıların sistemine kötü amaçlı yazılımlar sızdırma konusunda yeni bir tehdit mekanizması olarak dikkat çekmektedir. Bu durum, hem bireysel kullanıcıların hem de organizasyonların siber güvenlik stratejilerini yeniden gözden geçirmesinin gerekliliğini ortaya koymaktadır.
Bu tür gelişmeler, kullanıcıların ve yöneticilerin web siteleri ve uygulamaları üzerindeki güvenlik önlemlerini artırmaları gerektiğinin altını çizmektedir. Eklenti ve temaların güncellenmesi, güçlü şifre politikaları, site taramaları ve beklenmedik yönetici hesaplarının varlığını kontrol etme alışkanlığı, bu tehditlere karşı etkili savunma oluşturacaktır.
