Siber güvenlik araştırmacıları, WordPress sitelerini hedef alan ve gelişmiş oltalama yöntemleriyle kullanıcıları kötü amaçlı sayfalara yönlendiren yeni bir siber saldırı kampanyası tespit etti. Bu kampanyada saldırganlar, site dosyalarına gizlice yerleştirdikleri JavaScript kodlarıyla ziyaretçileri fark ettirmeden sahte sayfalara yönlendiriyor ve yeni nesil ClickFix oltalama taktiklerinden yararlanıyor.
Tema dosyalarına sızarak başlayan gelişmiş saldırı zinciri
Web güvenlik firmalarının incelemelerine göre saldırılar, WordPress sitelerindeki tema dosyalarına yapılan kötü amaçlı eklemelerle başlıyor. İncelemelerde, bir müşterinin sitesinde üçüncü taraf JavaScript kodlarının ziyaretçilere servis edildiği fark edildi ve detaylı araştırma sonucunda saldırganların functions.php dosyasına kötü amaçlı kod enjekte ettiği belirlendi.
Bu kodda Google Ads’e yapılan sahte referanslar yer alıyor. Bu yöntem, saldırganların güvenlik filtrelerini aşmak için kullandığı bir kamuflaj tekniği olarak dikkat çekiyor. Aslında kod, uzaktaki bir sunucuya HTTP POST isteği göndererek zararlı yazılımı yükleyen bir “remote loader” görevi görüyor. Kodun iletişim kurduğu “brazilc[.]com” alan adı, dinamik bir payload (zararlı yük) gönderiyor. Bu yük, iki temel bileşenden oluşuyor:
- “porsasystem[.]com” alanında barındırılan ve 17 farklı web sitesinde tespit edilen bir JavaScript dosyası. Bu dosya site yönlendirmelerini gerçekleştiriyor.
- 1×1 piksel boyutunda görünmez bir iframe yaratarak sahte Cloudflare doğrulama kodları enjekte eden JavaScript.
“porsasystem[.]com” alan adı, Kongtuke (404 TDS olarak da biliniyor) adlı bir trafik dağıtım sisteminin parçası olarak işaretlendi. Bu sistem, kullanıcıların farkına varmadan zararlı sitelere yönlendirilmesini sağlıyor.
Saldırıların yalnızca WordPress zafiyetleriyle sınırlı olmadığı da ortaya çıktı. Palo Alto Networks Unit 42 tarafından yapılan ayrı bir analiz, IUAM ClickFix Generator adlı yeni bir oltalama kitini ortaya koydu. Bu araç, saldırganların tarayıcı doğrulama sayfalarını taklit eden özel oltalama sayfaları hazırlamasına olanak tanıyor.
Bu sayfalar, içerik dağıtım ağlarının (CDN) kullandığı doğrulama süreçlerini taklit ederek kurbanlarda güven hissi yaratıyor. Ayrıca panoya (clipboard) müdahale edebiliyor, kullanılan işletim sistemini algılayarak zararlı yazılımı cihaza özel şekilde uyarlayabiliyor. Bu yöntemle DeerStealer ve macOS odaklı Odyssey Stealer gibi bilgi hırsızlarının dağıtıldığı en az iki vaka tespit edildi.
Microsoft, 2024 sonlarından itibaren yeraltı forumlarında bu tür ClickFix kitlerinin sayısında artış olduğuna dikkat çekmişti. Bu kitler, antivirüs yazılımlarını atlatabileceklerini ve kalıcı zararlı yükler oluşturabileceklerini iddia ediyor. Bu durum, düşük teknik bilgiye sahip kişilerin bile karmaşık oltalama kampanyaları düzenlemesini kolaylaştırıyor.
Saldırılar, ClickFix yöntemine ek olarak “cache smuggling” adı verilen yeni bir tekniği de kullanıyor. Bu yöntemde zararlı dosyalar doğrudan indirilmek yerine, tarayıcı önbelleği kullanılarak sistemlere sızdırılıyor. Siber güvenlik araştırmacısı Marcus Hutchins, bu kampanyada zararlı yazılımın kullanıcı cihazına JPEG dosyası kılığında önceden yüklenip daha sonra PowerShell komutlarıyla çalıştırıldığını açıkladı.
Bu yöntem, geleneksel antivirüs sistemlerinin tespit mekanizmalarını atlatıyor çünkü zararlı dosya herhangi bir indirme işlemiyle gelmiyor; önbelleğe “masum” bir görsel gibi yerleştiriliyor. Sonrasında bu içerik, sahte Fortinet VPN uyumluluk kontrolü sayfası aracılığıyla çalıştırılıyor.
Tespit edilen bu kampanya, WordPress tabanlı sitelerde güvenlik güncellemelerinin düzenli yapılmasının, güçlü şifrelerin kullanılmasının ve beklenmedik yönetici hesaplarının takip edilmesinin önemini bir kez daha gösterdi. Eklenti ve tema dosyalarının güncel tutulması, site sahiplerinin bu tür gelişmiş saldırılara karşı ilk savunma hattını oluşturuyor.
