3 bin 500 web sitesi ele geçirildi
Dünya genelinde 3.500’den fazla web sitesi, tarayıcı tabanlı kripto madenciliği için kullanılan JavaScript kodlarıyla sessizce ele geçirildi. CoinHive üzere araçlarla bir periyot yaygın olan bu ataklar, son yıllarda tarayıcı üreticilerinin aldığı tedbirlerle durdurulmuştu. Lakin yeni bir kampanyayla birlikte bu hücum yolu yine gündeme geldi.
Tarayıcı tabanlı hücumlar geri döndü
Güvenlik araştırmacıları, c/side tarafından yürütülen tahlillerde, JavaScript içerisine gizlenmiş ve karmaşıklaştırılmış biçimde yerleştirilen bir kripto madencisinin tespit edildiğini açıkladı. Bu kod, aygıtın süreç gücünü test ederek art planda Web Worker’lar çalıştırıyor ve rastgele bir ikaz ya da yavaşlama fark edilmeden madencilik sürecini başlatıyor.
Daha dikkat cazibeli olan ise, saldırganların WebSocket teknolojisini kullanarak dış sunuculardan vazifeler çekmesi ve madencilik yoğunluğunu aygıta nazaran dinamik halde ayarlaması. Bu sayede sistem kaynakları dikkat çekecek biçimde kullanılmıyor ve atak uzun müddet fark edilmeden devam ediyor.
Araştırmacı Himanshu Anand, bu formülün bilhassa kapalılığa odaklanarak tasarlandığını belirtti. Kullanıcılar, ziyaret ettikleri site üzerinden rastgele bir biçimde bilgilendirilmeden kripto para madenciliği sürecine dahil ediliyor ve sistemleri sessizce gelir kaynağına dönüşüyor. Web sitelerinin nasıl ele geçirildiği ise hâlâ netlik kazanmış değil.
Saldırıya maruz kalan sitelerin barındırdığı JavaScript miner kodunun, daha evvel kredi kartı bilgilerini çalmaya yönelik Magecart taarruzlarında da kullanıldığı ortaya çıktı. Bu durum, saldırganların tek bir altyapı üzerinden hem kripto madenciliği hem de finansal bilgi hırsızlığı üzere farklı gayelerle hareket ettiğini gösteriyor.
Aynı alan isimleriyle hem madencilik hem de ödeme formu enjeksiyonu üzere süreçlerin yürütülmesi, saldırganların JavaScript’i çok istikametli bir silah haline getirdiğini kanıtlıyor. Son haftalarda arka arda gelen akın örnekleri, bilhassa WordPress tabanlı web sitelerine odaklanıyor.
Saldırganlar, Google OAuth sistemine ilişkin yasal bir irtibat üzerinden yönlendirme yaparak makus emelli JavaScript çalıştırıyor. Bunun yanında, Google Tag Manager (GTM) kodları WordPress veritabanına direkt enjekte edilerek ziyaretçiler, spam içerikli sitelere yönlendiriliyor.
Bazı ataklar ise WordPress sitelerinin temel evraklarını gaye alıyor. wp-settings.php belgesine ziyanlı bir PHP kodu dahil edilerek komut ve denetim sunucularına ilişki kuruluyor, bu sayede arama motoru sıralamaları manipüle edilip spam içerik yayılıyor.
Temalara yerleştirilen ziyanlı kodlarla da tarayıcı yönlendirmeleri gerçekleştiriliyor. Ayrıyeten arama motoru botlarını algılayarak sadece bu botlara özel spam içerik sunan uydurma eklentiler de tespit edildi. En dikkat alımlı olaylardan biri ise tanınan WordPress eklentisi Gravity Forms’un 2.9.11.1 ve 2.9.12 sürümlerine yapılan tedarik zinciri saldırısı oldu.
Resmi indirme sayfası üzerinden yayılan art kapılı sürümler, uzaktan irtibat kurarak ek ziyanlı yazılımlar indiriyor ve sistemde yeni bir yönetici hesabı oluşturuyor. Eklentinin geliştiricisi RocketGenius, taarruza dair ayrıntıları paylaşarak kullanıcıları güncelleme mahzurları, yetkisiz erişim ve bilgi manipülasyonu üzere risklere karşı uyardı.
