Güvenlik uzmanları, siber suçluların eski WordPress ve eklentilerden yararlanarak binlerce web sitesini değiştirdiklerini ve ziyaretçileri kötü amaçlı yazılımları indirmeye ikna etmeye çalıştıklarını belirledi.
Web güvenliği şirketi c/side’ın kurucusu ve CEO’su Simon Wijckmans, bu hacking kampanyasının hâlâ “çok aktif” olduğunu açıkladı ve TechCrunch‘a yaptığı açıklamada, siber saldırının sürdüğünü vurguladı.
Bu siber saldırının amacı, hem Windows hem de Mac kullanıcılarının şifrelerini ve kişisel bilgilerini çalabilen kötü amaçlı yazılımlar yaymaktır. c/side’a göre, saldırıya uğrayan bazı web siteleri, internetin en popüler siteleri arasında yer alıyor.
Yaygın ve Ticarileşmiş Bir Saldırı
Siber güvenlik uzmanı Himanshu Anand, c/side’ın bulgularını aktararak bu saldırının “yaygın ve ticarileşmiş” bir saldırı olduğunu ifade etti. Anand, bu kampanyanın “spray and pay” türünde olduğunu, yani belirli bir hedefe yönelik değil, bu web sitelerini ziyaret eden herkese ulaşmayı amaçladığını sözlerine ekledi.
Hackerlar, saldırıya uğrayan WordPress siteleri kullanıcıların tarayıcılarında açıldığında, hızlı bir şekilde sahte bir Chrome güncelleme sayfası açılmasına neden oluyor. Bu sahte sayfada ziyaretçiden güncellemeyi indirmesi isteniyor. Eğer ziyaretçi bu isteğe onay verirse, site kötü amaçlı bir dosyanın indirilmesi için yönlendiriyor.
Transparan Bir Uyarı
Wijckmans, c/side olarak Automattic‘e bu hack kampanyasından haberdar ettiklerini ve kötü niyetli alan adlarını içeren bir liste gönderdiklerini belirtti. Automattic’in yetkilisi, Wijckmans’ın gönderdiği e-postayı aldıklarını doğruladı.
Ancak, yayın öncesinde TechCrunch tarafından ulaşılan Automattic sözcüsü Megan Fox, bir yorumda bulunmadı.
10.000’den Fazla Web Sitesi Tehdit Altında
c/side, bu siber saldırının bir parçası olarak 10.000’den fazla web sitesinin etkilenmiş göründüğünü açıkladı. Wijckmans, interneti tarayarak ve ters DNS sorgulaması yaparak, çeşitli alan adlarında kötü amaçlı skriptler tespit ettiklerini ifade etti.
TechCrunch, c/side’ın verilerinin doğruluğunu teyit edemedi ancak *bir hacklenmiş WordPress web sitesinin* hâlâ kötü amaçlı içerik gösterdiğini gözlemledi.
Kötü Amaçlı Yazılımlar ve Hedefleri
Bu kampanya kapsamında yayılmaya çalışan iki tür kötü amaçlı yazılım bulunmaktadır: Amos (ya da Amos Atomic Stealer) ve SocGholish. Bunun dışında, Amos, macOS kullanıcılarını hedef alırken, SocGholish ise Windows kullanıcılarını hedef alıyor.
Mayıs 2023’te siber güvenlik firması SentinelOne, Amos’u infostealer olarak sınıflandıran bir rapor yayınladı. Bu tür bir kötü amaçlı yazılım, bilgisayarlara bulaşarak birçok kullanıcı adı ve şifre, oturum çerezleri ve diğer hassas verileri çalmayı amaçlar.
Patrick Wardle, MacOS güvenliği uzmanı ve Apple odaklı siber güvenlik girişimi DoubleYou’nun kurucu ortağı olarak, Amos’un “macOS üzerinde en yaygın çalıcı yazılım” olduğunu söyledi. Wardle, bu yazılımın *kötü amaçlı yazılım-as-a-service* iş modeli ile oluşturulduğunu belirtti; yani yazılım geliştirilip, siber suçlulara satılıyor.
Wardle, kullanıcının c/side tarafından tespit edilen kötü amaçlı dosyayı macOS üzerinde başarılı bir şekilde kurabilmesi için birçok güvenlik açığını geçmesi gerektiğini de belirtti.
Görünmeyen Tehditler: Bu saldırı en gelişmiş yöntemlerden biri olmayabilir, çünkü hackerlar hedeflerinin sahte güncelleme sayfasına kanmasını ve ardından kötü amaçlı yazılımı kurmalarını sağlamaya dayanıyor. Ancak bu, kişisel cihazlarınıza yalnızca güvenilir uygulamalar yüklemenin ve Chrome tarayıcınızı sadece yerleşik güncelleme özelliği aracılığıyla güncellemenin önemini gözler önüne seriyor.
Şifre çalma kötü amaçlı yazılımlarının ve kimlik bilgisi hırsızlığının, tarihteki en büyük hacks ve veri ihlalleri ile doğrudan bağlantılı olduğu bilinmektedir. 2024 yılında, siber suçlular, müşterilerinin verilerini Snowflake ile barındıran kurumsal devlerin hesaplarına topluca saldırdılar ve bu sırada çalınan şifreleri kullandılar.