WordPress JavaScript Kötü Amaçlı Yazılım: Sunucu Taraflı Yönlendirmeler ve DNS TXT Kayıtları Kullanımı

6 Haziran 20244,9 min33
Wordpress Javascript Kotu Amacli Yazilim
İçerik
Paylaş

WordPress JavaScript kötü amaçlı yazılımı, WordPress sitelerine bulaşarak ziyaretçileri kötü amaçlı sitelere yönlendirme yöntemlerini sürekli geliştirmektedir. Bu yazıda, bu zararlı yazılımın yeni tekniklerini, kullanılan alan adlarını ve korunma yollarını inceleyeceğiz.

Kapsam ve Tespitler

Araştırma ekibimiz, WordPress JavaScript kötü amaçlı yazılımını şimdiye kadar 46.815 sitede tespit etti. Şubat 2024’te tespit sayısı zirve yaptı ve bu ay içinde 9.222 siteye ulaştı. Bu URLScan.io sorgusu, binlerce enfekte web sitesini gösteriyor.

Wordpress Javascript Kotu Amacli Yazilim 2

DNS TDS Alan Adları

WordPress JavaScript kötü amaçlı yazılımı, dinamik DNS çözümleyicileri ile şu alan adlarını kullanıyor:

  • cloud-stats[.]com – 13 Mart 2024’ten beri kullanılıyor.
  • host-stats[.]io – 5 Mart 2024’ten beri kullanılıyor.
  • logsmetrics[.]com – 18 Aralık 2023’ten beri kullanılıyor.
  • ads-promo[.]com – 13 Ekim 2023’ten beri kullanılıyor.
  • tracker-cloud[.]com – 17 Temmuz 2023’ten beri kullanılıyor.

İstemci Taraflı Yönlendirmeler

WordPress JavaScript kötü amaçlı yazılımı, istemci taraflı yönlendirmelerde dns.google hizmetini kullanır. Örneğin:

Copy to Clipboard

Sunucu Taraflı Yönlendirmeler

13 Mart 2024’ten itibaren, WordPress JavaScript kötü amaçlı yazılımı, web-hosts[.]io’ya sunucu taraflı yönlendirmeler yapmaya başladı. Bu sefer JavaScript enjeksiyonu yoktu; bunun yerine PHP kullanıldı. WPCode eklentisine zararlı PHP kodları enjekte edilerek bu yönlendirmeler gerçekleştirildi.

Wordpress Javascript Kotu Amacli Yazilim 5

WPCode’da Zararlı PHP Kodları

WPCode eklentisi, WordPress JavaScript kötü amaçlı yazılımının ana aracı haline geldi. Zararlı kod, WordPress yönetici arayüzünde “Başlıksız Snippet” adıyla tanımlanabilir:

Copy to Clipboard

Kaçınma Teknikleri ve Arka Kapı İşlevselliği

WordPress JavaScript kötü amaçlı yazılımı, WPCode eklentisini gizlemek için arka kapı işlevselliği içerir. Ayrıca base64 kodlu çerezler üzerinden veri gönderilmesini sağlar.

Wordpress Javascript Kotu Amacli Yazilim 3

Zararlının Kalıcılığı

Zararlının kalıcılığı, WPCode eklentisinin her gün kontrol edilmesi ile sağlanır. Saldırganlar, eklentiyi her gün kontrol eder ve devre dışı bırakıldıysa tekrar etkinleştirir.

Wordpress Javascript Kotu Amacli Yazilim 4

Proxyler ve Kullanıcı Ajanları

WordPress JavaScript kötü amaçlı yazılımı, çeşitli ülkelerdeki konut IP’lerinden ve eski tarayıcı sürümlerinden gelen bot isteklerini kullanır.

Önleme Adımları

  1. WordPress yönetici şifrelerini değiştirin.
  2. Tüm kullanıcı hesaplarının tanınan ve güçlü şifreler kullanarak oluşturulduğundan emin olun.
  3. WPCode eklentisini ve tüm yüklenmiş snippet’leri inceleyin, yabancı olanları silin.
  4. Tüm yüklü eklentileri gözden geçirin ve siteye ait olmayanları kaldırın.
  5. Kalan tüm eklentilerin ve temaların güncel ve tam yamanmış olduğundan emin olun.
  6. Web uygulaması güvenlik duvarı kullanarak bilinen güvenlik açıklarını kapatın.

WordPress JavaScript kötü amaçlı yazılımının sitenize bulaştığını düşünüyorsanız, 7/24 yardıma hazır güvenlik analistleriyle iletişime geçin ve sitenizi temizleme konusunda yardım alın. KAYNAK

Sık Sorulan Sorular (SSS): WordPress JavaScript Kötü Amaçlı Yazılım

WordPress JavaScript kötü amaçlı yazılımı, WordPress sitelerine bulaşarak ziyaretçileri kötü amaçlı sitelere yönlendiren zararlı yazılım türüdür. Bu yazılım, dinamik DNS TXT kayıtlarını ve sunucu taraflı yönlendirmeleri kullanarak çalışır

Araştırma ekipleri ve uzaktaki web sitesi tarayıcıları, kötü amaçlı yazılımı dinamik DNS TXT kayıtları ve kullanılan alan adları üzerinden tespit eder. Şubat 2024’te tespit edilen 9.222 site ile bu zararlı yazılımın yaygınlığı görülmüştür.

  • cloud-stats[.]com
  • host-stats[.]io
  • logsmetrics[.]com
  • ads-promo[.]com
  • tracker-cloud[.]com

Sunucu taraflı yönlendirmelerde, zararlı yazılım WPCode eklentisine zararlı PHP kodları enjekte eder. Bu kodlar, ziyaretçinin IP adresine göre dinamik olarak oluşturulmuş alt alan adlarının TXT kayıtlarını kullanarak yönlendirme yapar.

WPCode eklentisi, zararlı yazılımın ana aracı haline gelmiştir. Zararlı kod, WordPress yönetici arayüzünde “Başlıksız Snippet” adıyla tanımlanabilir ve kötü amaçlı yönlendirmeler gerçekleştirilir.

Zararlının kalıcılığı, WPCode eklentisinin her gün kontrol edilmesi ile sağlanır. Saldırganlar, eklentiyi her gün kontrol eder ve devre dışı bırakıldıysa tekrar etkinleştirir.

  • WordPress yönetici şifrelerinizi değiştirin.
  • Kullanıcı hesaplarını kontrol edin ve tanımadıklarınızı silin.
  • WPCode eklentisini ve tüm yüklenmiş snippet’leri inceleyin, yabancı olanları silin.
  • Yüklü eklentileri gözden geçirin ve siteye ait olmayanları kaldırın.
  • Tüm eklentileri ve temaları güncel tutun.
  • Bir web uygulaması güvenlik duvarı kullanın.

Sitenizin WordPress JavaScript kötü amaçlı yazılımı ile enfekte olduğunu düşünüyorsanız, güvenlik analistlerinden yardım alarak sitenizi temizleyebilir ve koruma altına alabilirsiniz.

WordPress JavaScript kötü amaçlı yazılımı, çeşitli ülkelerdeki konut IP’lerinden ve eski tarayıcı sürümlerinden gelen bot isteklerini kullanır. Bu bot istekleri genellikle enfekte olmuş bilgisayarlardan veya halka açık proxylerden gelir.

Dinamik DNS TXT kayıtları, zararlı yazılımın dinamik olarak oluşturulmuş alt alan adlarının TXT kayıtlarını kullanarak kötü amaçlı URL’leri elde etme yöntemidir. Bu teknik, zararlı yazılımın tespit edilmesini zorlaştırır ve sürekli değişen yapısıyla daha etkili olur.

Hemen Teklif Al

Projeniz hakkında kısaca bilgi vermeniz, ihtiyaçlarınıza daha hızlı yanıt vermemizi sağlayacaktır.
Bizi nasıl buldunuz?
c9d4a003d7378225c47d274cacd97406?s=96&d=mm&r=g

sevan kebabcı

Gelişmelerden haberdar olun

Bizi Takip Edin