Tehdit aktörleri, önceden güvenliği ihlal edilmiş bazı WordPress web sitelerinin ziyaretçilerine ait sistemlere uzaktan erişim Truva Atı (RAT) bırakma girişiminde bulunmak amacıyla Cloudflare DDoS bot kontrollerini yanıltıyor.
Sucuri’den araştırmacılar kısa süre önce yeni bir saldırı vektörünü araştırırken fark ettiler. WordPress’i hedefleyen JavaScript enjeksiyon saldırılarında artış Siteler. Saldırganların, bir site ziyaretçisinin insan mı yoksa DDoS botu mu olduğunu doğrulayan web sitesi olduğunu iddia eden sahte bir istemi tetikleyen WordPress web sitelerine bir komut dosyası enjekte ettiğini gözlemlediler.
Birçok Web uygulaması güvenlik duvarı (WAF) ve içerik dağıtım ağı hizmeti, DDoS koruma hizmetinin bir parçası olarak bu tür uyarıları düzenli olarak sunar. Sucuri, bu yeni JavaScript’in WordPress sitelerinde sahte bir Cloudflare DDoS koruması açılır penceresini tetiklediğini gözlemledi.
Web sitesine erişmek için sahte istemi tıklayan kullanıcılar, sistemlerine kötü amaçlı bir .iso dosyası indirdi. Ardından, web sitesine erişim için bir doğrulama kodu alabilmeleri için dosyayı açmalarını isteyen yeni bir mesaj aldılar. Sucuri, “Bu tür tarayıcı kontrolleri web’de çok yaygın olduğundan, birçok kullanıcı ziyaret etmeye çalıştıkları web sitesine erişmek için bu istemi tıklamadan önce iki kez düşünmez” dedi. “Çoğu kullanıcının anlamadığı şey, bu dosyanın aslında bir uzaktan erişim truva atı olduğu ve şu anda bu gönderi sırasında 13 güvenlik sağlayıcısı tarafından işaretlenmiş olmasıdır.”
Tehlikeli Sıçan
Sucuri, uzaktan erişim Truva Atı’nı, fidye yazılımı aktörlerinin, fidye yazılımı dağıtmadan önce sistemlerin izini sürmek için daha önce kullandıkları bir kötü amaçlı yazılım aracı olan NetSupport RAT olarak tanımladı. RAT ayrıca, Haziran ayında tehdit ortamına geri dönmeden önce bu yılın başlarında kısa süreliğine gözden kaybolan tanınmış bir bilgi hırsızı olan Racoon Stealer’ı düşürmek için de kullanıldı. Racoon Stealer 2019’da ortaya çıktı ve 2021’in en üretken bilgi hırsızlarından biriydi. Tehdit aktörleri, hizmet olarak kötü amaçlı yazılım modelleri ve korsan yazılım satan web sitelerine yerleştirmek de dahil olmak üzere çeşitli şekillerde dağıttı. Sahte Cloudflare DDoS koruma istemleriyle, tehdit aktörleri artık kötü amaçlı yazılımı dağıtmanın yeni bir yoluna sahip.
Netenrich’in başlıca tehdit avcısı John Bambinek, “Tehdit aktörleri, özellikle kimlik avı yaparken, kullanıcıları kandırmak için meşru görünen her şeyi kullanır” diyor. İnsanlar, botları tespit etmek ve engellemek için Captcha’nınki gibi mekanizmalara alıştıkça, tehdit aktörlerinin kullanıcıları kandırmak için aynı mekanizmaları kullanmalarının mantıklı olduğunu söylüyor. Bambenek, “Bu yalnızca insanların kötü amaçlı yazılım yüklemesini sağlamak için değil, aynı zamanda (Google, Microsoft ve Facebook gibi) büyük bulut hizmetlerinin kimlik bilgilerini çalmak için ‘kimlik bilgisi kontrolleri’ için de kullanılabilir” diyor.
Sonuç olarak, web sitesi operatörlerinin gerçek bir kullanıcı ile sentetik bir kullanıcı veya bir bot arasındaki farkı anlamanın bir yoluna ihtiyacı olduğunu belirtiyor. Ancak genellikle botları tespit etmek için kullanılan araçlar ne kadar etkili olursa, kullanıcıların kod çözmesi o kadar zorlaşır, diye ekliyor Bambinek.
nVisium’da kıdemli siber güvenlik araştırmacısı Charles Conley, Sucuri’nin bir RAT sağladığını gözlemlediği türden içerik sahtekarlığının kullanılmasının özellikle yeni olmadığını söylüyor. Siber suçlular, kötü amaçlı yazılımlar sunmak ve kullanıcıları her türlü güvenli olmayan yazılım ve eylemi gerçekleştirmeleri için kandırmak için Microsoft, Zoom ve DocuSign gibi şirketlerin işle ilgili uygulamalarını ve hizmetlerini düzenli olarak sızdırıyor.
Ancak, tarayıcı tabanlı sızdırma saldırılarında, Chrome gibi tam URL’yi gizleyen tarayıcılardaki veya Windows gibi dosya uzantılarını gizleyen işletim sistemlerindeki varsayılan ayarlar, ne indirdiklerini ve nereden indirildiğini ayırt eden kişilerin bile anlamasını zorlaştırabilir. Conley diyor.
