Cuma, Haziran 21, 2024
Ana SayfaTeknoloji Haberleri~11.000 site, tespit edilmekten kaçınmada başarılı olan kötü amaçlı yazılımlarla enfekte oldu

~11.000 site, tespit edilmekten kaçınmada başarılı olan kötü amaçlı yazılımlarla enfekte oldu

Eldivenli eller, ekranda kafatası ve çapraz kemikler olan bir dizüstü bilgisayarı manipüle ediyor.

Araştırmacılar, son aylarda yaklaşık 11.000 web sitesine, ziyaretçileri Google Adsense tarafından sağlanan reklamların sahte görünümlerini toplayan sitelere yönlendiren bir arka kapıdan etkilendiğini söyledi.

Güvenlik firması Sucuri tarafından bulunan 10.890 virüslü sitenin tümü, WordPress içerik yönetim sistemini çalıştırıyor ve web sitelerini güçlendiren meşru dosyalara enjekte edilmiş gizlenmiş bir PHP betiğine sahip. Bu tür dosyalar arasında “index.php”, “wp-signup.php”, “wp-Activate.php”, “wp-cron.php” ve daha birçok dosya bulunur. Bazı virüslü siteler ayrıca wp-blog-header.php ve diğer dosyalara gizlenmiş kod enjekte eder. Eklenen ek kod, hedeflenen sunucu yeniden başlatıldığında çalışan dosyalara kendisini yükleyerek kötü amaçlı yazılımın temizleme girişimlerinden sağ çıkmasını sağlamak için tasarlanmış bir arka kapı olarak çalışır.

“Bu arka kapılar, uzak bir etki alanı dosya yığınından ek mermiler ve bir Leaf PHP posta iletisi komut dosyası indirir.[.]Sucuri araştırmacısı Ben Martin şöyle yazdı: “Ek kötü amaçlı yazılım enjeksiyonu wp-blog-header.php dosyasına yerleştirildiğinden, web sitesi her yüklendiğinde yürütülür ve web sitesine yeniden bulaşır. Bu, kötü amaçlı yazılımın tüm izleri giderilene kadar ortamın virüslü kalmasını sağlıyor.”

Sinsi ve kararlı

Kötü amaçlı yazılım, varlığını operatörlerden gizlemek için zahmete giriyor. Bir ziyaretçi yönetici olarak oturum açtığında veya son iki veya altı saat içinde virüslü bir siteyi ziyaret ettiğinde, yönlendirmeler askıya alınır. Daha önce belirtildiği gibi, kötü amaçlı kod da Base64 kodlaması kullanılarak gizlenir.

Kod düz metne dönüştürüldüğünde, şu şekilde görünür:

Çözüldüğünde aynı kod.
Büyüt / Çözüldüğünde aynı kod.

Sucuri

Benzer şekilde, siteye yeniden virüs bulaşmasını sağlayarak arka kapıdan içeri giren arka kapı kodu, karıştırıldığında şöyle görünür:

base64 ile kodlandığında arka kapı PHP kodu.
Büyüt / base64 ile kodlandığında arka kapı PHP kodu.

Kod çözüldüğünde şöyle görünür:

Kodu çözüldüğünde PHP arka kapısı.
Büyüt / Kodu çözüldüğünde PHP arka kapısı.

Sucuri

Kitlesel web sitesi enfeksiyonu en az Eylül ayından beri devam ediyor. Kasım ayında yayınlanan ve insanları kampanya konusunda ilk kez uyaran bir gönderide Martin şu uyarıda bulundu:

“Bu noktada, bu açılış sayfalarında kötü niyetli davranışlar fark etmedik. Ancak herhangi bir zamanda site operatörleri keyfi olarak kötü amaçlı yazılım ekleyebilir veya trafiği diğer üçüncü taraf web sitelerine yönlendirmeye başlayabilir.”

Şimdilik, kampanyanın tüm amacı, Google Adsense reklamları içeren web sitelerine organik görünümlü trafik oluşturmak gibi görünüyor. Dolandırıcılıkla ilgilenen adsense hesapları şunları içerir:

tr[.]hamafedpor[.]iletişim ca-pub-8594790428066018
artı[.]cr-helal[.]iletişim ca-pub-3135644639015474
eşdeğer[.]yomeat[.]iletişim ca-pub-4083281510971702
haberler[.]istişarat[.]iletişim ca-pub-6439952037681188
tr[.]ilk gol[.]iletişim ca-pub-5119020707824427
ust[.]aly2um[.]iletişim ca-pub-8128055623790566
BTC[.]En son makaleler[.]iletişim ca-pub-4205231472305856
sormak[.]elbwaba[.]iletişim ca-pub-1124263613222640
ca-pub-1440562457773158

Ziyaretlerin ağ güvenlik araçları tarafından algılanmamasını sağlamak ve organik (yani sayfaları gönüllü olarak görüntüleyen gerçek kişilerden geliyor) gibi görünmek için yönlendirmeler Google ve Bing aramaları aracılığıyla gerçekleştirilir:

Yönlendirmenin Google arama yoluyla gerçekleştiğini gösteren sayfa kaynağı.
Büyüt / Yönlendirmenin Google arama yoluyla gerçekleştiğini gösteren sayfa kaynağı.

Sucuri

Nihai varış noktaları çoğunlukla Bitcoin veya diğer kripto para birimlerini tartışan Soru-Cevap siteleridir. Yönlendirilen bir tarayıcı sitelerden birini ziyaret ettiğinde, dolandırıcılar başarılı olmuştur. Martin’in açıklaması şöyle:

Esasen, web sitesi sahipleri, web sitelerine Google onaylı reklamlar yerleştirir ve aldıkları görüntüleme ve tıklama sayısı için ödeme alırlar. Bu görüntülemelerin veya tıklamaların nereden geldiği önemli değildir, yeter ki reklamlarının görülmesi için para ödeyenlere aslında görüldükleri izlenimi versin.

Tabii ki, bu enfeksiyonla ilişkili web sitelerinin düşük kaliteli doğası, temelde sıfır organik trafik üretecektir, bu nedenle trafiği pompalayabilmelerinin tek yolu kötü niyetli araçlardır.

Başka bir deyişle: Sahte kısa URL aracılığıyla sahte Soru-Cevap sitelerine yapılan istenmeyen yönlendirmeler, reklam görüntülemelerinin/tıklamalarının artmasına ve dolayısıyla bu kampanyanın arkasında kim varsa gelirinin artmasına neden olur. Organize reklam geliri dolandırıcılığına yönelik çok büyük ve devam eden bir kampanyadır.

Google AdSense belgelerine göre, bu davranış kabul edilemez ve yayıncılar Google tarafından sunulan reklamları, Google web araması için Spam politikalarını ihlal eden sayfalara yerleştirmemelidir.

Google temsilcileri, şirketin Martin’in belirlediği Adsense hesaplarını kaldırmayı veya dolandırıcılığı ortadan kaldırmak için başka yollar bulmayı planlayıp planlamadığını soran bir e-postaya yanıt vermedi.

İlk etapta sitelerin nasıl enfekte olduğu net değil. Genel olarak, WordPress sitelerine bulaşmanın en yaygın yöntemi, bir sitede çalışan savunmasız eklentilerden yararlanmaktır. Martin, Sucuri’nin virüslü sitelerde çalışan herhangi bir buggy eklentisi tespit etmediğini, ancak bir sitede var olabilecek çeşitli güvenlik açıklarını bulma becerisini kolaylaştıran yararlanma kitlerinin bulunduğunu da kaydetti.

Sucuri gönderileri, web sitesi yöneticilerinin enfeksiyonları tespit etmek ve kaldırmak için izleyebileceği adımları sağlar. Kendilerini bu dolandırıcılık sitelerinden birine yönlendirilmiş bulan son kullanıcılar, sekmeyi kapatmalı ve hiçbir içeriğe tıklamamalıdır.

RELATED ARTICLES

Popüler Konular