Siber Muhbir

Şirket, Sucuri tarafından bir Magento e-ticaret sitesinin ödeme sayfasında gözlemlenen sinsi tekniğin, kötü amaçlı yazılımın birden fazla temizleme girişiminden kurtulmasına izin verdiğini söyledi.

Skimmer, tüm verileri web sitesindeki kredi kartı formuna yakalamak ve ayrıntıları "amazon-analytic[.] com", Şubat 2024'te tescil edildi.

"Marka adının kullanımına dikkat edin; Güvenlik araştırmacısı Matt Morrow, alan adlarında popüler ürün ve hizmetlerden yararlanma taktiğinin genellikle kötü aktörler tarafından tespit edilmekten kaçınmak için kullanıldığını söyledi.

Bu, tehdit aktörü tarafından kullanılan birçok savunmadan kaçınma yönteminden yalnızca biridir ve orijinal dosyayı ("bootstrap.php") sağlam ve kötü amaçlı yazılımlardan uzak tutarken kötü amaçlı kodu yüklemek için takas dosyalarının ("bootstrap.php-swapme") kullanımını da içerir.

Morrow, "Dosyalar doğrudan SSH aracılığıyla düzenlendiğinde, düzenleyicinin çökmesi durumunda sunucu, tüm içeriğin kaybolmasını önleyen geçici bir 'takas' sürümü oluşturacaktır" dedi.

"Saldırganların, kötü amaçlı yazılımı sunucuda tutmak ve normal tespit yöntemlerinden kaçınmak için bir takas dosyasından yararlandıkları ortaya çıktı."

Bu durumda ilk erişimin nasıl elde edildiği şu anda net olmasa da, SSH veya başka bir terminal oturumunun kullanımını içerdiğinden şüpheleniliyor.

Açıklama, WordPress sitelerindeki güvenliği ihlal edilmiş yönetici kullanıcı hesaplarının, meşru Wordfence eklentisi gibi görünen kötü amaçlı bir eklenti yüklemek için kullanılmasıyla gelir, ancak her şeyin beklendiği gibi çalıştığına dair yanlış bir izlenim verirken sahte yönetici kullanıcılar oluşturma ve Wordfence'i devre dışı bırakma yetenekleriyle birlikte gelir.

Güvenlik araştırmacısı Ben Martin, "Kötü amaçlı eklentinin ilk etapta web sitesine yerleştirilmiş olması için, web sitesinin zaten tehlikeye atılmış olması gerekirdi - ancak bu kötü amaçlı yazılım kesinlikle bir yeniden enfeksiyon vektörü olarak hizmet edebilir" dedi.

"Kötü amaçlı kod yalnızca, URL'sinde 'Wordfence' kelimesini içeren WordPress yönetici arayüzü sayfalarında çalışır (Wordfence eklentisi yapılandırma sayfaları)."

Site sahiplerine FTP, sFTP ve SSH gibi yaygın protokollerin kullanımını güvenilir IP adresleriyle sınırlamaları ve içerik yönetim sistemlerinin ve eklentilerin güncel olduğundan emin olmaları önerilir.

Kullanıcıların ayrıca iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeleri, botları engellemek için bir güvenlik duvarı kullanmaları ve DISALLOW_FILE_EDIT ve DISALLOW_FILE_MODS gibi ek wp-config.php güvenlik uygulamalarını zorlamaları önerilir.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.