Siber güvenlik uzmanları, WordPress sitelerini hedef alan ve karmaşık oltalama teknikleri kullanarak kullanıcıları tehlikeli web sayfalarına yönlendiren yeni bir siber saldırı dalgasını ortaya çıkardı. Bu saldırılarda, kötü niyetli kişiler, web sitesi dosyalarına sinsice yerleştirdikleri JavaScript kodları aracılığıyla ziyaretçileri habersizce sahte sayfalara yönlendiriyor. Bu yönlendirme, yeni nesil ClickFix oltalama taktikleri kullanılarak gerçekleştiriliyor.
Güvenlik şirketlerinin yaptığı incelemeler, saldırıların WordPress sitelerinin tema dosyalarına yapılan zararlı eklemelerle başladığını gösteriyor. Bir müşterinin web sitesinde, ziyaretçilere üçüncü taraf JavaScript kodlarının sunulduğu tespit edildi. Yapılan detaylı incelemeler sonucunda, saldırganların functions.php dosyasına kötü amaçlı kod yerleştirdiği belirlendi.
Bu kodda, güvenlik önlemlerini atlatmak için Google Ads referansları taklit ediliyor. Kod aslında, uzak bir sunucuya HTTP POST isteği göndererek zararlı yazılımı indiren bir “uzak yükleyici” gibi çalışıyor. Kodun iletişim kurduğu “brazilc[.]com” alan adı, dinamik bir zararlı yük sağlıyor. Bu yükün iki temel parçası bulunuyor.
Bunlardan ilki, “porsasystem[.]com” alanında barındırılan ve 17 farklı web sitesinde tespit edilen bir JavaScript dosyası. Bu dosya, site yönlendirmelerini kontrol ediyor. İkincisi ise, 1×1 piksel boyutunda görünmez bir iframe oluşturarak sahte Cloudflare doğrulama kodları enjekte eden JavaScript.
“porsasystem[.]com” alan adı, Kongtuke (404 TDS olarak da biliniyor) adı verilen bir trafik yönlendirme sisteminin parçası olarak tanımlandı. Bu sistem, kullanıcıları fark ettirmeden kötü niyetli sitelere yönlendiriyor.
Saldırıların yalnızca WordPress güvenlik açıklarıyla sınırlı olmadığı da anlaşıldı. Palo Alto Networks Unit 42’nin yaptığı ayrı bir analiz, IUAM ClickFix Generator adında yeni bir oltalama aracını ortaya çıkardı. Bu araç, saldırganların tarayıcı doğrulama sayfalarını taklit eden özel oltalama sayfaları oluşturmasına imkan tanıyor.
Bu sayfalar, içerik dağıtım ağlarının (CDN) kullandığı doğrulama süreçlerini taklit ederek kullanıcıların güvenini kazanıyor. Ayrıca panoya erişebiliyor, işletim sistemini tespit ederek zararlı yazılımı cihaza uygun şekilde uyarlayabiliyor. Bu yöntemle DeerStealer ve macOS odaklı Odyssey Stealer gibi bilgi hırsızlarının dağıtıldığı en az iki olay tespit edildi.
Microsoft, 2024’ün sonlarından itibaren yeraltı forumlarında bu tür ClickFix araçlarının sayısında artış olduğunu belirtti. Bu araçlar, antivirüs yazılımlarını aşabileceklerini ve kalıcı zararlı yükler oluşturabileceklerini iddia ediyor. Bu durum, teknik bilgisi az olan kişilerin bile karmaşık oltalama saldırıları düzenlemesini kolaylaştırıyor.
Saldırılar, ClickFix yönteminin yanı sıra “cache smuggling” olarak adlandırılan yeni bir tekniği de kullanıyor. Bu teknikte, zararlı dosyalar doğrudan indirilmek yerine, tarayıcı önbelleği kullanılarak sistemlere sızdırılıyor. Siber güvenlik araştırmacısı Marcus Hutchins, bu saldırıda zararlı yazılımın kullanıcı cihazına JPEG dosyası gibi önceden yüklenip daha sonra PowerShell komutlarıyla çalıştırıldığını bildirdi.
Bu yöntem, geleneksel antivirüs sistemlerinin tespit etme yöntemlerini atlatıyor, çünkü zararlı dosya bir indirme işlemiyle gelmiyor; önbelleğe “zararsız” bir resim olarak yerleştiriliyor. Daha sonra bu içerik, sahte Fortinet VPN uyumluluk kontrol sayfası aracılığıyla çalıştırılıyor.
Bu kampanya, WordPress tabanlı sitelerde güvenlik güncellemelerinin düzenli olarak yapılmasının, güçlü şifrelerin kullanılmasının ve beklenmedik yönetici hesaplarının izlenmesinin önemini vurguluyor. Eklenti ve tema dosyalarının güncel tutulması, site sahiplerinin bu tür gelişmiş saldırılara karşı ilk savunma hattını oluşturuyor.
