Bilinmeyen tehdit aktörleri, WordPress için daha az bilinen kod parçası eklentilerini kullanarak mağdurların sitelerine zararlı PHP kodu ekliyorlar ve bu kodlar kredi kartı verilerini toplayabilecek nitelikte. 11 Mayıs 2024 tarihinde Sucuri tarafından gözlemlenen kampanya, kullanıcıların özel PHP kodu eklemesine izin veren Dessky Snippets adlı bir WordPress eklentisinin kötüye kullanımını içeriyor. Bu eklentinin 200’den fazla aktif kurulumu bulunuyor.

Bu tür saldırılar, önceden açıklanmış hataları veya kolayca tahmin edilebilir kimlik bilgilerini kullanan WordPress eklentilerindeki açıkları kullanarak veya yönetici erişimi elde etmek ve diğer eklentileri (yasal veya başka türlü) yüklemek için kullanılan saldırılar olarak biliniyor. Sucuri, Dessky Snippets eklentisinin, tehlikeli sitelere sunucu tarafı PHP kredi kartı bilgileri çalma kötü amaçlı yazılımlarını yerleştirmek için kullanıldığını belirtti.

Güvenlik araştırmacısı Ben Martin, ‘Bu kötü amaçlı kod, WordPress wp_options tablosundaki dnsp_settings seçeneğine kaydedildi ve WooCommerce’deki ödeme sürecini değiştirmek ve kendi kodunu enjekte etmek için tasarlandı’ dedi. Özellikle, bu, fatura formuna adlar, adresler, kredi kartı numaraları, son kullanma tarihleri ve Kart Doğrulama Değeri (CVV) numaralarını isteyen birkaç yeni alan eklemek için tasarlanmıştır ve bunlar daha sonra ‘hxxps://2of[.]cc/wp-content/’ URL’sine sızdırılır.

Kampanyanın dikkate değer bir yönü, sahte örtüyle ilişkilendirilen fatura formunun otomatik doldurmayı devre dışı bırakmış olmasıdır (yani, autocomplete=’off’). ‘Sahte ödeme sayfasındaki bu özelliği manuel olarak devre dışı bırakarak, tarayıcının hassas bilgilerin girildiğine dair kullanıcıya uyarı verme olasılığını azaltır ve kullanıcı tarafından manuel olarak doldurulana kadar alanların boş kalmasını sağlar, bu da şüpheli görünmesini azaltır ve alanların işlem için normal, gerekli girişler olarak görünmesini sağlar,’ diye açıkladı Martin.

Tehdit aktörlerinin yasal kod parçası eklentilerini kötü amaçlar için kullanmaya başvurması ilk değil. Geçen ay, şirket WPCode kod parçası eklentisinin kötü amaçlı JavaScript kodunu WordPress sitelerine enjekte etmek için kötüye kullanıldığını ortaya çıkardı ve site ziyaretçilerini VexTrio alanlarına yönlendirmek için kullanıldığını gösterdi.

Son altı ayda 39.000’den fazla WordPress sitesini enfekte ettiği bulunan bir başka kötü amaçlı yazılım kampanyası olan Sign1 adlı kampanya, kullanıcıları dolandırıcı sitelere yönlendirmek için Simple Custom CSS and JS eklentisi aracılığıyla kötü amaçlı JavaScript enjeksiyonları kullanıyor.

Özellikle e-ticaret işlevleri sunan WordPress site sahiplerine, sitelerini ve eklentilerini güncel tutmaları, güçlü şifreler kullanmaları, brute-force saldırılarını önlemek ve periyodik olarak sitelerini kötü amaçlı yazılım veya yetkisiz herhangi bir değişiklik belirtisi açısından denetlemeleri öneriliyor.

Kaynakça : https://thehackernews.com/2024/05/wordpress-plugin-exploited-to-steal.html

Sorumluluk Reddi Beyanı:

Bu haber yazımız bilgi amaçlı olup, saldırılara karşı farkındalığı arttırabilmek ve bu doğrultuda tedbirler alınabilmesi amacı ile hazırlanmıştır. Bu yazıda geçen bilgilerin amacı dışında kullanılmasının hukuki olmadığını hatırlatır, öncesinde test ortamlarınızda uygulamanızı öneririz. Aksi taktirde sistemlerinizde bu durumdan dolayı ortaya çıkabilecek her tür hata, eksiklik veya arıza hususlarında CyberArts’ın herhangi bir sorumluluğunun olmadığını ve bunlardan kaynaklanabilecek doğrudan ya da dolaylı zarar ve kayıplardan sorumlu tutulamayacağını beyan ederiz.