WordPress web siteleri tarayıcınızı ele geçirmek için hackleniyor

Uzmanlar, siber suçluların kimlik bilgisi doldurma saldırıları için büyük bir ordu oluşturmak üzere güvenliği ihlal edilmiş WordPress web sitelerini kullandıkları konusunda uyardı.

Siber güvenlik araştırmacıları Sucuri’nin hazırladığı bir rapor kampanyayı tespit etti ve hedefinin ne olduğunu bildiklerine inanıyorlar – yani HTML şablonlarına küçük bir komut dosyası yükleyebilecekleri web sitesi oluşturucusundan savunmasız siteler arıyorlar. Bu komut dosyası, web sitesi ziyaretçisinin bilgisayarını farklı bir WordPress web sitesini ziyaret etmeye (kurbanın haberi olmadan arka planda) ve farklı kullanıcı adı ve şifre kombinasyonları kullanarak giriş yapmaya zorluyor.

Kurban giriş kodunu kırdığında, hala farkında olmadan bu bilgiyi saldırganlara geri iletecek ve daha fazla talimat alacaktır.

Bir üs inşa etmek

BleepingComputer, HTML kaynak kodu arama motoru PublicHTML’den aldığı bilgilere dayanarak, şu anda bu betiği barındıran 1.700’den fazla web sitesi olduğunu ve “farkında olmadan bu dağıtılmış bruteforce ordusuna katılacak devasa bir kullanıcı havuzu sağladığını” bildirdi. Yayının bildirdiğine göre kurbanlar arasında Ekvator Özel Bankalar Birliği’nin web sitesi de bulunuyor.

Sucuri, bu tehdit aktörünü geçmişte de takip ettiğini söylüyor. Şimdiye kadar, grup aynı tekniği farklı bir amaç için kullandı. AngelDrainer kötü amaçlı yazılımını yüklemek için. AngelDrainer, adından da anlaşılacağı gibi, bir kurbanın kripto para cüzdanlarında olabilecek tüm fonları “boşaltan” bir kod parçasıdır. Bunu yapmak için kurbanın cüzdanını (örneğin MetaMask cüzdanı gibi) bir kripto hizmetine bağlaması gerekiyor. Grup, insanların cüzdanlarını bağlamalarını sağlamak için kendi sahte Web3 web sitelerini bile oluşturdu.

Araştırmacılar grubun neden kimlik bilgisi doldurma işine girmeye karar verdiğinden emin değil. Bir açıklama, daha sonra cüzdan boşaltma kampanyaları gibi daha yıkıcı saldırılar başlatmak için kullanılabilecek daha büyük bir tehlikeye atılmış site tabanı oluşturduklarıdır.

Sucuri, “Büyük olasılıkla, bulaşma ölçeklerinde (~1000 tehlikeye atılmış site) kripto boşaltıcıların henüz çok karlı olmadığını fark ettiler” dedi.

“Dahası, çok fazla dikkat çekiyorlar ve alan adları oldukça hızlı bir şekilde engelleniyor. Bu nedenle, yükü daha gizli bir şeyle değiştirmek mantıklı görünüyor, bu aynı zamanda bir şekilde para kazanabilecekleri gelecekteki enfeksiyon dalgaları için tehlikeye atılmış site portföylerini artırmaya yardımcı olabilir.”