Sign1 adlı daha önce bilinmeyen bir kötü amaçlı yazılım kampanyası, son altı ay içinde 39.000'den fazla web sitesine enfekte ve ziyaretçilerin istenmeyen yönlendirmeleri ve pop -up reklamlarını görmesine neden oldu.
Tehdit aktörleri, gerçek WordPress dosyalarını değiştirmek yerine kötü amaçlı Sign1 komut dosyalarını enjekte etmek için kötü amaçlı yazılımları özel HTML widget'larına ve WordPress sitelerinde meşru eklentilere enjekte eder.
Web sitesi güvenlik firması Sucuri, bir müşterinin web sitesinin ziyaretçilere rastgele açılır reklamlar göstermesinden sonra kampanyayı keşfetti.
Sucuri'nin müşterisi kaba bir kuvvet saldırısı ile ihlal edilirken, Sucuri diğer tespit edilen sitelerin nasıl tehlikeye atıldığını paylaşmadı.
Bununla birlikte, önceki WordPress saldırılarına dayanarak, muhtemelen Brute Force saldırılarının bir kombinasyonunu ve Siteye erişmek için eklenti güvenlik açıklarından yararlanmaktadır.
Tehdit aktörleri eriştikten sonra, WordPress özel HTML widget'larını kullanırlar veya daha yaygın olarak kötü amaçlı JavaScript kodunu enjekte etmek için meşru basit özel CSS ve JS eklentisini yüklerler.
Sucuri'nin Sign1 analizi, kötü amaçlı yazılımın, bloklardan kaçmak için her 10 dakikada bir değişen dinamik URL'ler oluşturmak için zamana dayalı randomizasyon kullandığını gösterir. Alan adları saldırılarda kullanılmadan kısa bir süre önce kaydedilir, bu nedenle herhangi bir blok listesinde değiller.
Bu URL'ler, bir ziyaretçinin tarayıcısında çalıştırılan daha fazla kötü amaçlı komut dosyası almak için kullanılır.
Başlangıçta, alan adları Namecheap'te barındırıldı, ancak saldırganlar şimdi IP adresi gizleme için barındırma ve Cloudflare için Hetzner'a taşındı.
Enjekte edilen kod, XOR kodlama ve görünüşte rastgele değişken adları içerir ve güvenlik araçları için daha zor bir şekilde algılamayı sağlar.
Kötü amaçlı kod, yürütmeden önce belirli yönlendiricileri ve çerezleri kontrol eder, Google, Facebook, Yahoo ve Instagram gibi büyük sitelerden gelen ziyaretçileri hedefler ve diğer durumlarda uykuda kalır.
Ayrıca, kod hedefin tarayıcısında bir çerez oluşturur, böylece açılır pencere ziyaretçi başına yalnızca bir kez görüntülenir ve bu da tehlikeye atılan web sitesi sahibine rapor oluşturma olasılığını azaltır.
Komut dosyası daha sonra ziyaretçiyi, tarayıcı bildirimlerini etkinleştirmeye çalışan sahte captchas gibi dolandırıcılık sitelerine yönlendirir. Bu bildirimler istenmeyen reklamlar doğrudan işletim sistemi masaüstünüze sunar.
Sucuri, Sign1'in son altı ay içinde geliştiği konusunda uyarıyor ve kötü amaçlı yazılımın yeni bir versiyonu yayınlandığında enfeksiyonlar artıyor.
Son altı ay içinde, Sucuri'nin tarayıcıları 39.000'den fazla web sitesinde kötü amaçlı yazılım tespit ederken, Ocak 2024'ten beri devam eden son saldırı dalgası 2.500 site talep etti.
Kampanya, daha gizli ve bloklara daha dayanıklı hale gelmek için zamanla gelişti, bu da endişe verici bir gelişme.
Sitelerinizi bu kampanyalara karşı korumak için güçlü/uzun yönetici şifresi kullanın ve eklentilerinizi en son sürüme güncelleyin. Ayrıca, potansiyel bir saldırı yüzeyi olarak işlev görebilen gereksiz eklentiler çıkarılmalıdır.
Bilgisayar korsanları, 3.300 siteyi kötü amaçlı yazılımlarla enfekte etmek için WordPress eklentisi kusurunu kullanır
Criminal IP FDS: Brute Force saldırılarını engellemek için bir WordPress eklentisi
Hacked WordPress siteleri, diğer siteleri kesmek için ziyaretçilerin tarayıcılarını kullanın
Bilgisayar korsanları tuğlalarda kritik RCE kusurundan yararlanıyor WordPress site Builder
Joomla, siteleri RCE saldırılarına maruz bırakabilecek XSS kusurlarını düzeltir
Kaynak: Bleeping Computer