Bir milyondan fazla WordPress web sitesine, adı verilen kötü amaçlı yazılımı dağıtmak için devam eden bir kampanyadan bulaştığı tahmin ediliyor. Balada Enjektör 2017’den beri.
GoDaddy’den Sucuri’ye göre devasa kampanya, WordPress sitelerini ihlal etmek için “bilinen ve yakın zamanda keşfedilen tüm tema ve eklenti güvenlik açıklarından yararlanıyor”. Saldırıların birkaç haftada bir dalgalar halinde ortaya çıktığı biliniyor.
“Bu kampanya, tercihine göre kolayca tanımlanabilir. String.CharCode’dan güvenlik araştırmacısı Denis Sinegubko, şaşırtma, rastgele alt alanlarda kötü amaçlı komut dosyaları barındıran yeni kayıtlı alan adlarının kullanılması ve çeşitli dolandırıcılık sitelerine yönlendirmeler yoluyla” dedi. söz konusu.
Web siteleri şunları içerir: sahte teknik destekhileli piyango kazançları ve kullanıcıları ‘Robot olmadığınızı doğrulamak için Lütfen İzin Verin’ bildirimlerini açmaya teşvik eden hileli CAPTCHA sayfaları ve böylece aktörlerin spam reklamlar göndermesine olanak tanır.
Rapor, savunmasız WordPress sitelerini tehlikeye atmak için iki düzineden fazla eklenti ve temadaki kusurlardan yararlanan bir Linux kötü amaçlı yazılım ailesini ayrıntılı olarak açıklayan Doctor Web’in son bulgularına dayanıyor.
Ara yıllarda Balada Injector, bilinen güvenlik kusurlarından (ör. HTML enjeksiyonu ve Site URL’si), saldırganlar öncelikle wp-config.php dosyasındaki veritabanı kimlik bilgilerini almaya çalışır.
Ek olarak, saldırılar, yedeklemeler, veritabanı dökümleri, günlük ve hata dosyaları dahil olmak üzere rasgele site dosyalarını okumak veya indirmek ve bakım görevlerini tamamladıktan sonra site yöneticileri tarafından geride bırakılmış olabilecek adminer ve phpmyadmin gibi araçları aramak için tasarlanmıştır.
Kötü amaçlı yazılım, nihayetinde sahte WordPress yönetici kullanıcılarının oluşturulmasına, temeldeki ana bilgisayarlarda depolanan verilerin toplanmasına ve kalıcı erişim için arka kapıların bırakılmasına izin verir.
Balada Injector ayrıca, diğer sitelere ait yazılabilir dizinleri bulmak için güvenliği ihlal edilmiş web sitesinin dosya sistemiyle ilişkili üst düzey dizinlerden geniş aramalar gerçekleştirir.
Sinegubko, “Genellikle, bu siteler güvenliği ihlal edilen sitenin web yöneticisine aittir ve hepsi aynı sunucu hesabını ve aynı dosya izinlerini paylaşır.” Dedi. “Bu şekilde, yalnızca bir siteden ödün vermek, potansiyel olarak diğer birkaç siteye ‘ücretsiz’ erişim izni verebilir.”
Bu saldırı yollarının kullanılamadığı ortaya çıkarsa, yönetici parolası önceden tanımlanmış 74 kimlik bilgisi kullanılarak kaba kuvvetle uygulanır. Bu nedenle, WordPress kullanıcılarının web sitesi yazılımlarını güncel tutmaları, kullanılmayan eklentileri ve temaları kaldırmaları ve güçlü WordPress yönetici şifreleri kullanmaları önerilir.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Bulgular, Palo Alto Networks Unit 42’nin benzer bir kötü amaçlı yazılımı ortaya çıkarmasından haftalar sonra geldi. JavaScript enjeksiyon kampanyası site ziyaretçilerini reklam yazılımı ve dolandırıcılık sayfalarına yönlendiren. 2022’den beri 51.000’den fazla web sitesi etkilendi.
Bir gizleme tekniği olarak String.fromCharCode’u da kullanan etkinlik, kurbanları, aldatıcı içerik sunmak için sahte bir CAPTCHA kontrolü kılığına girerek anında iletme bildirimlerini etkinleştirmeleri için kandıran bubi tuzaklı sayfalara yönlendiriyor.
Unit 42 araştırmacıları, “Enjekte edilen kötü amaçlı JS kodu, tespit edilen web sitelerinin yarısından fazlasının ana sayfasına dahil edildi.” söz konusu. “Kampanya operatörleri tarafından kullanılan yaygın bir taktik, güvenliği ihlal edilmiş web sitelerinin ana sayfalarında yer alması muhtemel, sık kullanılan JS dosya adlarına (örn. jQuery) kötü amaçlı JS kodu enjekte etmekti.”
“Bu, saldırganların web sitesinin ana sayfasını ziyaret etme olasılıkları daha yüksek olduğundan, potansiyel olarak web sitesinin meşru kullanıcılarını hedeflemesine yardımcı oluyor.”
