Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. 6.000’den Fazla WordPress Sitesi Sahte Eklentiler ile Hacklendi

6.000’den Fazla WordPress Sitesi Sahte Eklentiler ile Hacklendi

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 7 dk okuma süresi
205 0

6.000’den Fazla WordPress Sitesi Sahte Eklentiler ile Hacklendi

WordPress Siteleri, Bilgi Çalan Kötü Amaçlı Yazılımları Yayan Sahte Eklentilerle Hackleniyor.

WordPress siteleri, sahte yazılım güncellemeleri ve hatalar gösteren kötü amaçlı eklentiler yüklemek için hackleniyor. Bu sahte mesajlar, bilgi çalan kötü amaçlı yazılımları dağıtarak kullanıcıları hedefliyor.

Son birkaç yıldır, bilgi çalan kötü amaçlı yazılımlar, dünya genelindeki güvenlik savunucuları için büyük bir tehdit haline geldi. Çalınan kimlik bilgileri, ağlara sızmak ve veri hırsızlığı yapmak için kullanılıyor.

hackerlar wordpress eski eklentilerini

2023’ten bu yana, ClearFake adlı kötü niyetli bir kampanya, zararlı bilgi çalan yazılımları dağıtmak için ele geçirilen web sitelerinde sahte tarayıcı güncelleme bildirimleri göstermeye başladı.

2024 yılında, ClearFake ile birçok benzerlik taşıyan yeni bir kampanya olan ClickFix ortaya çıktı. Ancak, ClickFix sahte yazılım hatalarını çözüm önerileriyle birlikte sunuyor. Bu “çözümler” ise PowerShell komut dosyaları olup, çalıştırıldığında bilgi çalan kötü amaçlı yazılımları indirip yüklüyor.

WordPress Sitesi Sahte Eklentiler

ClickFix kampanyaları, bu yıl giderek daha yaygın hale geldi. Tehdit aktörleri, Google Chrome, Google Meet konferansları, Facebook ve hatta CAPTCHA sayfaları için sahte hata mesajları gösteren banner’lar sunmak amacıyla siteleri ele geçiriyor. Bu sahte hata mesajları, bilgi çalan kötü amaçlı yazılımların indirilmesi için kullanıcıları kandırmak amacıyla kullanılıyor.

Kötü Amaçlı WordPress Eklentileri

Geçen hafta GoDaddy, ClearFake/ClickFix tehdit aktörlerinin 6.000’den fazla WordPress sitesini ele geçirerek bu kampanyalarla ilişkili sahte uyarılar gösteren kötü amaçlı eklentiler yüklediğini bildirdi.

GoDaddy güvenlik araştırmacısı Denis Sinegubko, durumu şöyle açıklıyor: “GoDaddy Güvenlik ekibi, sahte tarayıcı güncelleme kötü amaçlı yazılımı olan ClickFix’in (ClearFake olarak da bilinir) yeni bir varyantını izliyor. Bu kötü amaçlı yazılım, sahte WordPress eklentileri aracılığıyla dağıtılıyor.”

“Bu görünüşte yasal eklentiler, site yöneticilerine zararsız görünecek şekilde tasarlanmış, ancak son kullanıcılara sahte tarayıcı güncelleme istemleri sunan gömülü kötü amaçlı komut dosyalarını içeriyor.”

Kötü amaçlı eklentiler, Wordfence Security ve LiteSpeed Cache gibi meşru eklentilere benzer isimler kullanırken, bazıları ise genel, uydurma isimler kullanıyor.

İşte Haziran ve Eylül 2024 arasında siber saldırılarda görülen WordPress Sitesi Sahte Eklentiler listesi:

  • LiteSpeed Cache Classic
  • MonsterInsights Classic
  • Wordfence Security Classic
  • Search Rank Enhancer
  • SEO Booster Pro
  • Google SEO Enhancer
  • Rank Booster Pro
  • Admin Bar Customizer
  • Advanced User Manager
  • Advanced Widget Manage
  • Content Blocker
  • Custom CSS Injector
  • Custom Footer Generator
  • Custom Login Styler
  • Dynamic Sidebar Manager
  • Easy Themes Manager
  • Form Builder Pro
  • Quick Cache Cleaner
  • Responsive Menu Builder
  • SEO Optimizer Pro
  • Simple Post Enhancer
  • Social Media Integrator

Bu eklentiler, sahte tarayıcı güncellemeleri ve hata mesajları gösteren kötü amaçlı yazılımları kullanıcılara iletmek için kullanılmıştır.

Web sitesi güvenlik firması Sucuri, “Universal Popup Plugin” adlı sahte bir eklentinin de bu kampanyanın bir parçası olduğunu belirtti.

Bu kötü amaçlı eklenti yüklendiğinde, varyantına bağlı olarak çeşitli WordPress eylemlerine bağlanarak sitenin HTML’sine kötü amaçlı bir JavaScript kodu enjekte ediyor. Bu, sitenin güvenliğini tehlikeye atarak bilgi çalma veya zararlı yazılım yayma gibi kötü niyetli amaçlar için kullanılmasına neden oluyor.

Injected JavaScript script

Bu script yüklendiğinde, Binance Smart Chain (BSC) akıllı sözleşmesinde depolanan daha fazla kötü amaçlı JavaScript dosyasını yüklemeye çalışır. Bu dosya daha sonra ClearFake veya ClickFix scriptlerini yükleyerek sahte banner’ların görüntülenmesini sağlar. Bu sahte banner’lar, kullanıcıları kandırmak için sahte yazılım güncellemeleri veya hata mesajları gösterir ve bilgi çalan kötü amaçlı yazılımları yayar.

WordPress Sitesi Sahte Eklentiler

Sinegubko’nun analiz ettiği web sunucusu erişim loglarına göre, tehdit aktörlerinin WordPress sitesine giriş yapmak ve kötü amaçlı eklentiyi yüklemek için çalınan yönetici kimlik bilgilerini kullandıkları görülüyor.

Aşağıdaki görüntüden de anlaşılacağı gibi, tehdit aktörleri, sitenin giriş sayfasını ziyaret etmek yerine tek bir POST HTTP isteği aracılığıyla oturum açıyor. Bu durum, kimlik bilgilerinin zaten ele geçirilmiş olduğu ve işlemin otomatik bir şekilde gerçekleştirildiğini gösteriyor.

İlginizi çekebilecek yazımız: Kuzey Koreli Hackerlar, Internet Explorer’daki Sıfır Gün Açığını Kötüye Kullanıyor

Tehdit aktörü oturum açtıktan sonra, kötü amaçlı eklentiyi yükleyip siteye entegre ediyor. Bu, sitenin güvenliğini tehlikeye atarak sahte güncellemeler ve hata mesajları gösteren zararlı yazılımları yaymalarına olanak tanıyor.

WordPress Sitesi Sahte Eklentiler

Tehdit aktörlerinin kimlik bilgilerini nasıl ele geçirdiği tam olarak bilinmemekle birlikte, araştırmacı, bunun önceki brute force (kaba kuvvet) saldırıları, phishing (oltalama) ve bilgi çalan kötü amaçlı yazılımlar aracılığıyla olabileceğini belirtiyor.

Eğer bir WordPress yöneticisiyseniz ve ziyaretçilerinizin sahte uyarılarla karşılaştığına dair raporlar alıyorsanız, hemen yüklü eklentileri incelemeli ve kendinizin yüklemediği eklentileri kaldırmalısınız.

Eğer tanımadığınız eklentiler bulursanız, tüm yönetici kullanıcılarının şifrelerini yalnızca sitenizde kullanılan benzersiz bir şifre ile hemen sıfırlamalısınız. Bu, güvenliğinizi artırmaya yardımcı olur ve gelecekteki saldırıları önler.

Haber Kaynağı: Bleeping Computer

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir