10.000 WordPress Sitesi, Zararlı Yazılım Yaymak İçin Hacklendi

10.000’den fazla WordPress web sitesi, hem Windows hem de macOS kullanıcılarını hedefleyen kötü amaçlı yazılımları dağıtmak üzere hacklendi, güvenlik araştırmacıları bu hafta c/side‘da açıkladı.

Saldırganlar, zararlı JavaScript’i güncellenmemiş WordPress sitelerine enjekte etti ve ziyaretçileri, zararlı yazılım kuracak sahte tarayıcı güncellemelerini indirmeye kandırdılar.

Bu kampanyanın arkasındaki siber suçlular, savunmasız WordPress sitelerine zararlı JavaScript enjekte ettiler. Bir ziyaretçi enfekte bir sayfaya geldiğinde, tarayıcıları görünmez bir çerçeve içinde sahte bir güncelleme istemi yükler. Bir kullanıcı, sözde güncellemeyi indirip kurarsa, cihazlarını farkında olmadan zararlı yazılımla enfekte ederler.

Bu yöntem, önceki taktiklerden bir değişiklik işaret eder, çünkü bu, AMOS ve SocGholish’in bir istemci tarafı saldırısı aracılığıyla ilk kez teslim edildiği bilinen örnektir. Kullanıcıları ayrı bir zararlı siteye yönlendirmek yerine, zararlı yazılım doğrudan tarayıcı oturumlarına enjekte edilir.

AMOS zararlı yazılımı, Mac kullanıcılarından hassas verileri, şifreler, kredi kartı bilgileri ve kripto para cüzdanları dahil olmak üzere çalmak için tasarlanmıştır. Hacker forumlarında ve Telegram kanallarında satılıyor, bu da onu siber suçlulara kolayca erişilebilir hale getiriyor.

Windows kullanıcılarını hedef alan SocGholish, genellikle kendisini meşru bir yazılım güncellemesi gibi gizleyerek fidye yazılımı veya tuş kaydediciler gibi ek zararlı yazılımlar yüklemek için kullanılır.

Muhtemelen hackerlar, güncelliğini yitiren eklentileri ve temaları kullanarak bu WordPress sitelerine erişim sağladı. Birçok web sitesi, client-side saldırıları için aktif bir izleme sistemine sahip olmadığından, kötü amaçlı scriptler uzun bir süre boyunca tespit edilemedi.

Güvenlik uzmanları, saldırıya dahil olan birkaç şüpheli alan adı belirledi, bunlar arasında **blackshelter[.]org** ve **blacksaltys[.]com** bulunuyor, bu siteler kullanıcıları kötü amaçlı yazılım barındıran sitelere yönlendiriyordu. Kötü amaçlı script ayrıca yaygın olarak kullanılan bir içerik dağıtım ağında da bulundu, bu da tespiti daha zor hale getirdi.

Güvende kalmak için, web sitesi sahiplerinin WordPress kurulumlarını ve eklentilerini güncellemeleri, alışılmadık scriptleri kontrol etmeleri ve şüpheli dosyaları kaldırmaları tavsiye edilir. Enfekte sitelerden dosya indiren kullanıcılar, tam sistem taraması yapmalı ve cihazlarını kötü amaçlı yazılımlar için kontrol etmelidirler.

Bu kampanya, siber suçluların web sitesi güvenlik açıklarını kötüye kullanarak kullanıcıları kötü amaçlı yazılımlarla enfekte etme tehlikesinin arttığını vurgulamaktadır. Güvenlik araştırmacıları, saldırıyı izlemeye devam ediyor ve daha fazla tehlikeli web sitesinin enfeksiyonu yaymaya devam edebileceği konusunda uyarıyorlar.