- Eklentinin ‘openssl-encrypt’ işlevini kullanarak gönderileri AES-256-CBC ile şifrelendiği bulundu.
- Bu kötü amaçlı eklentiyi içeren web sitesinin, büyük bir saldırı kampanyasının kurbanı olduğuna inanılıyor.
Blog gönderilerindeki içeriği şifreleyen kötü amaçlı bir WordPress eklentisi bulundu. ‘WP Security’ olarak bilinen eklenti, Sucuri’deki güvenlik uzmanları tarafından eklentinin kurulu olduğu bir WordPress sitesinden haberdar olduklarında analiz edildi.
WP Security’nin ‘openssl_encrypt’ adlı bir işlevi kullanarak AES-256 şifrelemeli postları şifrelediği bulundu. İlginç bir şekilde, yalnızca içerik değiştirilmemiş halde kalan diğer tüm WordPress özellikleriyle eklenti tarafından şifrelenmiştir.
- Eklenti iki PHP dosyası ve bir günlük dosyası içeriyordu. Sucuri araştırmacıları, eklentinin WordPress panosunda görünmediğini buldu.
- Sadece blog içeriği eklenti tarafından şifrelenmiştir. Gönderiler sitenin veritabanında şifrelenmiştir.
- Araştırmacılar, şifreleme anahtarını elde etmek için eklenti tarafından uzak bir sunucu ile iletişim kurmak için kullanılan bir fonksiyonla karşılaştı.
- İşlev içindeki komut dosyası, uzak sunucu ile iletişim kurmak için CURL’yi kullandı.
- WP Security eklentisi, sitedeki tüm gönderileri aradı ve şifreledi. Eklenti tarafından oluşturulan bir günlük dosyası şifreli mesajları içeriyordu.
Sucuri araştırmacıları, betiğin şifreleme anahtarı için bir etki alanıyla bağlantı kurduğunu gözlemledi.
“Araştırmamız sırasında, betiği şifreleme ve / şifre çözme anahtarını almak için aşağıdaki etki alanını çağırdığımızı belirledik ‘hxxp: // www [.] Xcelvations [.] Com / wpsecurity / secretkeys.php’. Web sitesi zamanda yanıtı “bulunamadı 404 sayfa” dönüyordu, bu yüzden başka herhangi bir deney yapmak veya içeriğin şifresini için anahtar kurtarma girişimi için koyamadık,” dediler.
WP Güvenlik eklentisi ile enfekte bulunan sitenin büyük bir saldırı kampanyasının kurbanı olduğu tahmin ediliyor.
Cyware