Açıklama

Trustwave SpiderLabs tarafından yürütülen araştırmalara göre, Proton66 ASN (AS198953) ile ilişkilendirilen IP adreslerinden gelen saldırılar sonucunda birçok WordPress sitesi ele geçirilmiş ve bu siteler, Android cihaz kullanıcılarını hedef alan kötü amaçlı yazılımların yayılması için dağıtım noktası olarak kullanılmıştır. Araştırma, bu kampanyanın çeşitli zararlı yazılım türlerini ve sahte Google Play mağazaları üzerinden yürütülen kimlik avı girişimlerini içerdiğini ortaya koymaktadır.

Tespit Edilen Zararlılar ve Etkileri

• Kullanılan IP: 91.212.166.21
• Hedef Kitle: Android kullanıcıları
• Yönlendirme Mekanizması: JavaScript obfuscation ile gizlenmiş yönlendirme betikleri
• Son Hedef Siteler:
• us-playmarket.com
• playstors-france.com
• Tespit Edilen Zararlılar:
• XWorm: Korece konuşan kullanıcıları hedef alan RAT
• StrelaStealer: Kimlik bilgisi hırsızı
• WeaXor: Fidye yazılımı

Teknik Detaylar

• JavaScript Yönlendirme Betiği: getupd.js yalnızca Android cihazları hedef alıyor.
• Bot Tespiti: VPN, proxy ve crawler kontrolleri içeriyor.
• IP Doğrulama:
• https://api.ipify.org
• https://ipinfo.io – API Key: 3afcf479c3f3e0
• Barındırma Altyapısı: UNDERGROUND ve BEARHOST gibi bulletproof hosting hizmetleri
• Altyapı Geçişi: Bazı IP’ler Chang Way Technologies ASN gibi farklı sistemlere yönlendirildi

Etki

• Kullanıcılar: Zararlı APK dosyaları içeren sahte mağazalara yönlendirilerek cihazlarına zarar veriyor.
• Veri Sızıntısı: Kimlik bilgileri, cihaz içeriği ve diğer hassas veriler çalınıyor.
• Web Altyapısı: Kompromize edilmiş WordPress siteleri saldırı zincirinin bir parçası haline geliyor.

Zafiyetin Kod ve Fonksiyonları

• Yönlendirme Betiği: getupd.js
• IP Kontrol API’leri:
• https://api.ipify.org
• https://ipinfo.io
• Tespit Edilen Alan Adları:
• www-kodi.com
• my-tasjeel-ae.com

Öneriler ve Çözüm

WordPress Kullanıcıları

• Sitenizi düzenli olarak güncelleyin.
• JavaScript dosyalarınızı kontrol edin.
• WAF veya firewall üzerinden zararlı IP’leri engelleyin.
• Güvenlik eklentileri kullanın.

Android Kullanıcıları

• Uygulamaları yalnızca resmi mağazalardan indirin.
• Bilinmeyen kaynaklardan gelen yönlendirmeleri açmayın.
• Güvenlik uygulamalarıyla cihazınızı periyodik olarak tarayın.

Genel Öneriler

• Ağ trafiğinizi izleyin ve şüpheli yönlendirmelere karşı uyarı sistemleri kurun.
• Kullanıcıları sahte mağazalar ve zararlı yazılımlar hakkında eğitin.

Sonuç

Proton66 altyapısı üzerinden gerçekleştirilen bu zararlı yazılım kampanyası, hem bireysel kullanıcılar hem de kurumsal altyapılar için ciddi güvenlik riski teşkil etmektedir. WordPress platformları üzerinden yayılan bu saldırılar, sahte uygulama mağazaları ile kullanıcıların kimlik ve finansal verilerine ulaşmayı hedeflemektedir. Gerekli güncellemelerin yapılması ve kullanıcı farkındalığının artırılması, bu tehditlere karşı etkin bir savunma sağlayacaktır.

‍