WordPress tarafından desteklenen 1000’den fazla web sitesi, dört ayrı arka kapı enjekte eden üçüncü taraf bir JavaScript kodu ile enfekte olmuştur.
C/yan araştırmacı Himanshu Anand, “Dört backdoor yaratmak, birden fazla yeniden giriş noktasına sahip saldırganların tespit edilmesi ve kaldırılması gerekir.” söz konusu Çarşamba analizinde.
Kötü amaçlı JavaScript koduna cdn.csyndication yoluyla sunulduğu bulunmuştur.[.]com. Yazma olarak, 908 Web Siteleri söz konusu alana referanslar içerir.
Dört arka kolun işlevleri aşağıda açıklanmıştır –
- “Ultra SEO İşlemci” adlı sahte bir eklenti yükleyen ve yükleyen Backdoor 1, daha sonra saldırgan tarafından verilen komutları yürütmek için kullanılan
- WP-Config.php’ye kötü niyetli javascript enjekte eden arka kapı 2
- Makineye kalıcı uzaktan erişime izin vermek için ~/.ssh/yetkili_keyler dosyasına saldırgan kontrollü bir SSH anahtarı ekleyen Backdoor 3
- Uzaktan komutları yürütmek için tasarlanmış ve GSocket’ten başka bir yük getiren Backdoor 4[.]Muhtemelen bir ters kabuk açacak
Saldırıların sağladığı riski azaltmak için kullanıcıların yetkisiz SSH tuşlarını silmeleri, WordPress yönetici kimlik bilgilerini döndürmeleri ve şüpheli etkinlik için sistem günlüklerini izlemeleri önerilir.
Geliştirme siber güvenlik şirketi olarak geliyor ayrıntılı Başka bir kötü amaçlı yazılım kampanyası, site ziyaretçilerini Çince kumar platformlarına yönlendirmek için “kullanıcının tarayıcı penceresini tamamen kaçıran” kötü amaçlı JavaScript ile 35.000’den fazla web sitesini tehlikeye attı.
“Saldırı, Mandarin’in yaygın olduğu bölgelerden hedef alıyor veya geliyor gibi görünüyor ve son açılış sayfaları ‘Kaiyun’ markası altında kumar içeriği sunuyor.
Yeniden yönlendirme, yönlendirmeleri gerçekleştirmekten sorumlu ana yük için bir yükleyici görevi gören beş farklı alanda barındırılan JavaScript aracılığıyla gerçekleşir –
- mlbetjs[.]com
- ptfafajs[.]com
- Zuizhongjs[.]com
- JBWZZZJS[.]com
- jpbkte[.]com
Bulgular ayrıca Grup-Ib’den bir tehdit oyuncusu hakkında yeni bir rapor izledi. Çığlık attı Bu, ziyaret eden kullanıcıların parmak izlerini toplamak için Bablosoft JS olarak adlandırılan bir Bablosoft JS olarak adlandırılan Magento web sitelerine enjekte eder. 115’ten fazla e-ticaret sitesinin bugüne kadar etkilendiğine inanılmaktadır.
Enjekte edilen senaryo “Bablosoft BrowserautomationStudio (Bas) Suite’in bir parçası”, Singapurlu Şirket söz konusuekleyerek “uzlaşmış web sitesini ziyaret eden kullanıcıların sistemi ve tarayıcı hakkında bilgi toplamak için başka birkaç işlev içerir.”
Saldırganların, web sitelerini ihlal etmek için savunmasız Magento sürümlerini (örneğin, CVE-2024-34102 aka Cosmicsting ve CVE-2024-20720) etkileyen bilinen güvenlik açıklarından yararlandığı söyleniyor. Finansal olarak motive olmuş tehdit oyuncusu ilk olarak Mayıs 2024’ün sonlarında Vahşi’de keşfedildi.
Grup-IB, “Tarayıcı parmak izi, web siteleri tarafından kullanıcı etkinliklerini izlemek ve pazarlama stratejilerini uyarlamak için yaygın olarak kullanılan güçlü bir tekniktir.” Dedi. “Bununla birlikte, bu bilgiler, meşru kullanıcı davranışını taklit etmek, güvenlik önlemlerinden kaçınmak ve hileli faaliyetler yürütmek için siber suçlular tarafından da kullanılmaktadır.”
