Dünyada 2000’den fazla WordPress sitesi, ziyaretçileri çeşitli aldatmaca sitelerine yönlendiren bir kurmaca ile siber suçlular tarafından saldırıya uğradı.
Sucuri araştırmacıları tarafından keşfedilen bilgisayar korsanlığı, WordPress eklentilerinde önceden bilinen güvenlik açıklarını kullanıyor.
Güvenlik açıklarından yararlanıldığında, saldırganların gotosecond2 [.] Com, adsformarket [.] Com, admarketlocation [.] Com ve admarketresearch [.] Xyz gibi kötü amaçlı etki alanlarından komut dosyaları yükleyen JavaScript enjekte etmesine izin veriyor.
Bir ziyaretçi saldırıya uğramış siteye eriştiğinde, enjekte edilen komut dosyası arka planda /wp-admin/options-general.php ve /wp-admin/theme-editor.php yönetim URL’lerini denemeye çalışıyor. Bu URL’ler, ziyaretçileri istenmeyen tarayıcı bildirim abonelikleri, sahte anketler, eşantiyonlar ve sahte Adobe Flash indirmeleri içeren çeşitli dolandırıcılık sayfalarına yönlendirmek için komut dosyaları enjekte etmek veya WordPress ayarlarını değiştirmek için kötüye kullanıyor.
Kötü niyetli JavaScript enjekte etmenin yanı sıra, saldırganların güvenliği ihlal edilen sitelere daha fazla kötü amaçlı yazılım yüklemek için kullanılan sahte eklenti dizinleri oluşturdukları da ortaya çıkarıldı. Bunlar /wp-admin/includes/plugin-install.php dosyası kötüye kullanılarak oluşturulmuş.
Web sitesi sahiplerinden, bilgisayar korsanlarının kötü amaçlı dosyalar eklemesini engellemek için birincil klasörlerin değiştirilmesini devre dışı bırakmaları istenir. Bu arada uzmanlar, saldırganların gelecekte bu tür aldatmaca kampanyaları yürütmek için yeni alan adları kaydetmeye veya mevcut kullanılmayan alanlardan yararlanmaya devam edeceklerini iddia ediyor.
