|
| ||||||
| | Konu Araçları | Görünüm Modları |
Dün, 12:02
| #1 |
   Üye No: 1 Kayıt Tarihi: 26-Aralık-2024 Mesajlar: 897 Konular: 865 Nerden: Bursa Takımı: Beşiktaş Meslek:  Aldığı Beğeni: 4 Beğendikleri: 7 |  WordPress'te Sahte Güvenlik Eklentisi, Saldırganlara Uzaktan Yönetici Erişimi Sağlıyor  Siber güvenlik araştırmacıları, WordPress sitelerini hedef alan ve kötü amaçlı yazılımını güvenlik eklentisi gibi gösteren yeni bir kampanyayı ortaya çıkardı. Zararlı eklenti, "WP-antymalwary-bot.php" adıyla biliniyor ve sisteme arka kapı bırakmak, kendini yönetici panelinden gizlemek ve uzaktan komut çalıştırmak gibi çeşitli işlevlere sahip. “Komuta-kontrol (C2) sunucusuna veri gönderebilen ping özelliği, diğer dizinlere zararlı yazılım yayma ve reklam gösteren kötü amaçlı JavaScript enjekte etme yetenekleri de mevcut,” diyor Wordfence araştırmacısı Marco Wotschka. Gizli Erişim, Kod Enjeksiyonu ve Kalıcılık Mekanizmaları Kötü amaçlı eklenti ilk olarak Ocak 2025 sonunda bir web sitesi temizliği sırasında keşfedildi. Sonrasında yeni varyantları da tespit edildi. Aynı zararlı eklenti farklı isimlerle de görüldü:
Bu eklenti etkinleştirildiğinde, saldırganlara WordPress kontrol panelinde yönetici yetkileri kazandırıyor ve REST API üzerinden uzak kod çalıştırılmasına olanak tanıyor. Tema dosyasına kötü amaçlı PHP kodu enjekte edebiliyor veya popüler önbellek eklentilerinin önbelleklerini temizleyerek zararlı kodun çalışmasına alan açıyor. Yeni varyantlar, JavaScript enjeksiyon yöntemlerinde değişiklikler içeriyor ve başka bir ele geçirilmiş alan adından reklam veya spam içeriği sunan kodları çekiyor. Otomatik Yeniden Aktifleşme ve Kalıcılık Eklentiye, aynı zamanda kötü amaçlı bir wp-cron.php dosyası eşlik ediyor. Bu dosya, zararlı eklenti silinse bile bir sonraki site ziyareti sırasında eklentiyi otomatik olarak tekrar oluşturup aktif hale getiriyor. Saldırının kaynağı henüz belirlenemese de, dosya içeriğinde yer alan Rusça yorumlar ve mesajlar, saldırganların Rusça konuştuğunu düşündürüyor. Diğer Gelişmiş Saldırılar: "Sahte Font Siteleri, GIF Kılığındaki Proxy, Google AdSense Enjeksiyonları" Aynı zaman diliminde Sucuri araştırmacıları da, sahte bir yazı tipi sitesi olan italicfonts[.]org üzerinden gerçekleştirilen bir web skimmer kampanyasını ifşa etti. Bu saldırı, ödeme sayfalarına sahte formlar yerleştirerek kullanıcı bilgilerini çalıyor ve saldırgan sunuculara gönderiyor.  “GIF” Dosyasının Arkasında Gizli Proxy ve Bilgi Hırsızlığı Başka bir "ileri düzey, çok aşamalı kart bilgisi hırsızlığı" saldırısı da Magento e-ticaret portallarını hedef alıyor. Bu saldırıdaki kötü amaçlı yazılım:
kredi kartı verileri, giriş bilgileri, çerezler ve diğer hassas verileri çalıyor. “Bu zararlı yazılım, sitenin ödeme sayfasına gelen ziyaretçilerin verilerini yakalamak için gelen istekleri proxy ile yönlendiriyor,” diyor araştırmacı Ben Martin. Google AdSense Kodu Enjeksiyonu ile Gelir Hırsızlığı Ayrıca saldırganların, en az 17 WordPress sitesine kendi Google AdSense kodlarını enjekte ettiği ve bu yolla istenmeyen reklamlar gösterdiği de tespit edildi. “Eğer siz de AdSense kullanıyorsanız, bu kodlarla sizin reklam geliriniz saldırganlara aktarılıyor olabilir,” uyarısında bulundu güvenlik araştırmacısı Puja Srivastava.Sahte CAPTCHA ile Node.js Tabanlı Arka Kapılar Son olarak, sahte CAPTCHA doğrulama sayfaları üzerinden Node.js tabanlı arka kapılar (backdoor) indirtildiği tespit edildi. Bu zararlı yazılım sistem bilgilerini topluyor, saldırgana uzaktan erişim sağlıyor ve SOCKS5 proxy üzerinden trafik tünelleme yeteneği olan bir Node.js RAT (uzaktan erişim truva atı) yüklüyor. Bu faaliyetler, Kongtuke (diğer adlarıyla: 404 TDS, Chaya_002, LandUpdate808, TAG-124) adlı bir trafik dağıtım sistemi (TDS) tarafından yönetiliyor. “Zararlı JavaScript, sistem keşfi yapabiliyor, uzaktan komut çalıştırabiliyor, ağ trafiğini tünelleyebiliyor ve kalıcı, gizli erişim sağlayabiliyor,” diyor Reegun Jayapaul. |
| |  |
| Yer İmleri |
| Etiketler |
| eklentisi, erisimi, guvenlik, sagliyor, sahte, saldirganlara, uzaktan, wordpresste, yonetici |
| Konuyu Görüntüleyen Aktif Kullanıcılar: 1 (0 üye ve 1 misafir) | |
| |
Threaded Mode