Güvenlik araştırmacıları, ziyaretçileri kötü amaçlı yazılımları indirmek ve yüklemek için kandırmak için binlerce web sitesini değiştirmek için bilgisayar korsanları WordPress ve eklentilerin eski sürümlerinden yararlanıyor.
Saldırıları keşfeden Web Güvenlik Şirketi C/Side’ın kurucusu ve CEO’su Simon Wijckmans, Salı günü TechCrunch’a verdiği demeçte, hackleme kampanyası hala “çok canlı”.
Bilgisayar korsanlarının amacı, hem Windows hem de Mac kullanıcılarından şifreleri ve diğer kişisel bilgileri çalabilen kötü amaçlı yazılımları yaymaktır. C/tarafına göre, hacklenen web sitelerinden bazıları internetteki en popüler siteler arasında yer alıyor.
“Bu yaygın ve çok ticarileştirilmiş bir saldırı,” diye yazdı Himanshu Anand Şirketin bulgularıTechCrunch’a söyledi. Anand, kampanyanın belirli bir kişiyi veya bir grup insanı hedeflemek yerine bu web sitelerini ziyaret eden herkesi tehlikeye atmayı amaçlayan bir “sprey ve ödeme” saldırısı olduğunu söyledi.
Hacklenen WordPress siteleri bir kullanıcının tarayıcısına yüklendiğinde, içerik, Web Sitesinin web sitesini görüntülemek için bir güncelleme indirip yüklemesini isteyen sahte bir Chrome tarayıcısı güncelleme sayfası görüntülemek için hızlı bir şekilde değişir. Bir ziyaretçi güncellemeyi kabul ederse, saldırıya uğramış web sitesi, ziyaretçinin Windows PC’de veya Mac’te olup olmadığına bağlı olarak, ziyaretçiyi güncelleme olarak maskelenen belirli bir kötü amaçlı dosyayı indirmeye teşvik edecektir.
Wijckmans, WordPress.com’u geliştiren ve dağıtan şirket olan Automattic’i hackleme kampanyası hakkında uyardıklarını ve onlara kötü amaçlı alanların listesini gönderdiklerini ve şirketteki temaslarının e -postalarının alındığını kabul ettiklerini söyledi.
TechCrunch tarafından yayınlanmadan önce ulaşıldığında, Automattic sözcüsü Megan Fox yorum yapmadı.
C/Side, bu hackleme kampanyasının bir parçası olarak tehlikeye atılmış gibi görünen 10.000’den fazla web sitesini belirlediğini söyledi. Wijckmans, şirketin interneti sürünerek ve belirli bir IP adresiyle ilişkili alanlar ve web siteleri bulmak için bir teknik olan ve kötü niyetli komut dosyalarını barındıran daha fazla alan ortaya çıkaran bir teknik olan ters DNS araması gerçekleştirerek çeşitli alanlarda kötü amaçlı komut dosyaları algıladığını söyledi.
TechCrunch, C/Side’ın rakamlarının doğruluğunu doğrulayamadı, ancak Salı günü hala kötü niyetli içeriği gösteren bir saldırıya uğramış WordPress web sitesi gördük.
WordPress’ten Infosting Malware’e kadar
Kötü niyetli web sitelerine itilen iki tür kötü amaçlı yazılım türü, macOS kullanıcılarını hedefleyen AMOS (veya Amos Atomic Stealer) olarak bilinir; ve Windows kullanıcılarını hedefleyen Socgholish.
Mayıs 2023’te siber güvenlik firması Sentinelone Bir rapor yayınladı Amos’ta, kötü amaçlı yazılımları bir Infostealer olarak sınıflandırma, bilgisayarları enfekte etmek ve birçok kullanıcı adı ve şifre, oturum çerezleri, kripto cüzdanları ve bilgisayar korsanlarının hesaplarına daha fazla girmesini sağlayan diğer hassas verileri çalmak ve diğer hassas verileri çalmak için bir tür kötü amaçlı yazılım türü olarak sınıflandırmak ve dijital para birimi. Siber güvenlik firması Cyble bildirdi Hacker’ların Telegram’daki Amos kötü amaçlı yazılımlarına erişim sattığını bulmuştu.
Bir macOS güvenlik uzmanı ve Apple odaklı siber güvenlik girişiminin kurucu ortağı Patrick Wardle, TechCrunch’a Amos’un “kesinlikle macOS’ta en üretken stealer” olduğunu ve hizmet olarak kötü amaçlı iş modeli ile oluşturulduğunu söyledi, yani Kötü amaçlı yazılım geliştiricileri ve sahipleri, daha sonra konuşlandıran bilgisayar korsanlarına satar.
Wardle ayrıca, birisinin macOS’a başarılı bir şekilde yüklemesi için C/Side tarafından bulunan kötü amaçlı dosyayı “Kullanıcının hala manuel olarak çalıştırması ve Apple’ın yerleşik güvenliğini atlamak için çok sayıda çemberden atlaması gerektiğini” belirtti.
Bu en gelişmiş hackleme kampanyası olmasa da, bilgisayar korsanlarının sahte güncelleme sayfası için düşme ve daha sonra kötü amaçlı yazılımları yükleme hedeflerine güvenmesi göz önüne alındığında, bu Chrome tarayıcınızı güncellemek için iyi bir hatırlatmadır. Yerli yazılım güncelleme özelliği aracılığıyla Ve kişisel cihazlarınıza yalnızca güvenilir uygulamaları yüklemek için.
Şifre çalan kötü amaçlı yazılımlar ve kimlik bilgilerinin çalınması, tarihteki en büyük hack ve veri ihlallerinden bazıları için suçlandı. 2024 yılında Hackerlar, Snowflake müşterilerinin çalışanlarından çalınan şifreleri kullanarak bulut bilişim dev kar tanesi ile hassas verilerini barındıran kurumsal devlerin hesaplarını topladı.
