Dünya genelinde 3.500’den fazla web sitesi, tarayıcı tabanlı kripto madenciliği için kullanılan JavaScript kodlarıyla sessizce ele geçirildi. CoinHive üzere araçlarla bir periyot yaygın olan bu akınlar, son yıllarda tarayıcı üreticilerinin aldığı tedbirlerle durdurulmuştu. Fakat yeni bir kampanyayla birlikte bu taarruz tekniği tekrar gündeme geldi.
Tarayıcı tabanlı hücumlar geri döndü
Güvenlik araştırmacıları, c/side tarafından yürütülen tahlillerde, JavaScript içerisine gizlenmiş ve karmaşıklaştırılmış biçimde yerleştirilen bir kripto madencisinin tespit edildiğini açıkladı. Bu kod, aygıtın süreç gücünü test ederek art planda Web Worker’lar çalıştırıyor ve rastgele bir ihtar ya da yavaşlama fark edilmeden madencilik sürecini başlatıyor.
Daha dikkat cazibeli olan ise, saldırganların WebSocket teknolojisini kullanarak dış sunuculardan vazifeler çekmesi ve madencilik yoğunluğunu aygıta nazaran dinamik halde ayarlaması. Bu sayede sistem kaynakları dikkat çekecek formda kullanılmıyor ve taarruz uzun mühlet fark edilmeden devam ediyor.
Araştırmacı Himanshu Anand, bu prosedürün bilhassa kapalılığa odaklanarak tasarlandığını belirtti. Kullanıcılar, ziyaret ettikleri site üzerinden rastgele bir formda bilgilendirilmeden kripto para madenciliği sürecine dahil ediliyor ve sistemleri sessizce gelir kaynağına dönüşüyor. Web sitelerinin nasıl ele geçirildiği ise hâlâ netlik kazanmış değil.
Saldırıya maruz kalan sitelerin barındırdığı JavaScript miner kodunun, daha evvel kredi kartı bilgilerini çalmaya yönelik Magecart akınlarında da kullanıldığı ortaya çıktı. Bu durum, saldırganların tek bir altyapı üzerinden hem kripto madenciliği hem de finansal data hırsızlığı üzere farklı hedeflerle hareket ettiğini gösteriyor.
Aynı alan isimleriyle hem madencilik hem de ödeme formu enjeksiyonu üzere süreçlerin yürütülmesi, saldırganların JavaScript’i çok istikametli bir silah haline getirdiğini kanıtlıyor. Son haftalarda arka arda gelen atak örnekleri, bilhassa WordPress tabanlı web sitelerine odaklanıyor.
Saldırganlar, Google OAuth sistemine ilişkin yasal bir irtibat üzerinden yönlendirme yaparak makus emelli JavaScript çalıştırıyor. Bunun yanında, Google Tag Manager (GTM) kodları WordPress veritabanına direkt enjekte edilerek ziyaretçiler, spam içerikli sitelere yönlendiriliyor.
Bazı taarruzlar ise WordPress sitelerinin temel belgelerini gaye alıyor. wp-settings.php evrakına ziyanlı bir PHP kodu dahil edilerek komut ve denetim sunucularına temas kuruluyor, bu sayede arama motoru sıralamaları manipüle edilip spam içerik yayılıyor.
Temalara yerleştirilen ziyanlı kodlarla da tarayıcı yönlendirmeleri gerçekleştiriliyor. Ayrıyeten arama motoru botlarını algılayarak sırf bu botlara özel spam içerik sunan geçersiz eklentiler de tespit edildi. En dikkat alımlı hadiselerden biri ise tanınan WordPress eklentisi Gravity Forms’un 2.9.11.1 ve 2.9.12 sürümlerine yapılan tedarik zinciri saldırısı oldu.
Resmi indirme sayfası üzerinden yayılan art kapılı sürümler, uzaktan ilişki kurarak ek ziyanlı yazılımlar indiriyor ve sistemde yeni bir yönetici hesabı oluşturuyor. Eklentinin geliştiricisi RocketGenius, hücuma dair ayrıntıları paylaşarak kullanıcıları güncelleme manileri, yetkisiz erişim ve bilgi manipülasyonu üzere risklere karşı uyardı.
