Bilgisayar korsanları, Ukrayna web sitelerinde dağıtılmış hizmet reddi saldırıları gerçekleştirmek için ziyaretçilerin tarayıcılarını kullanan kötü amaçlı bir komut dosyası eklemek için WordPress sitelerini tehlikeye atıyor.
Bugün MalwareHunterTeam, Dağıtılmış Hizmet Reddi (DDoS) saldırılarına sahip on web sitesini hedef alan bu komut dosyasını kullanmak için güvenliği ihlal edilmiş bir WordPress sitesi keşfetti.
Bu web siteleri arasında Ukrayna devlet kurumları, düşünce kuruluşları, Uluslararası Ukrayna Savunma Lejyonu için işe alım siteleri, finans siteleri ve diğer Ukrayna yanlısı siteler bulunmaktadır.
Hedeflenen web sitelerinin tam listesi aşağıdadır:
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
Homepage
JavaScript yüklendiğinde, ziyaretçinin tarayıcısını, bir seferde en fazla 1.000 eşzamanlı bağlantı olmadan, listelenen sitelerin her birine HTTP GET istekleri gerçekleştirmeye zorlar.
DDoS saldırıları, tarayıcısının yavaşlaması dışında, kullanıcının ne olduğunu bilmeden arka planda gerçekleşir.
Bu, komut dosyalarının, ziyaretçi tarayıcılarının bir saldırı için seçildiğinden habersizken DDoS saldırılarını gerçekleştirmesini sağlar.
Hedeflenen web sitelerine yapılan her istek, isteğe Cloudflare veya Akamai gibi bir önbelleğe alma hizmeti aracılığıyla sunulmaması ve doğrudan saldırıya uğrayan sunucu tarafından alınması için rastgele bir sorgu dizesi kullanır.
Örneğin, DDoS komut dosyası, bir web sunucusunun erişim günlüklerinde aşağıdaki gibi istekler üretecektir:
"GET /?17.650025158868488 HTTP/1.1"
"GET /?932.8529889504794 HTTP/1.1"
"GET /?71.59119445542395 HTTP/1.1"
BleepingComputer, bu DDoS betiğinin bulaştığı yalnızca birkaç site bulabildi. Ancak geliştirici Andrii Savchenko, bu saldırıları gerçekleştirmek için yüzlerce WordPress sitesinin güvenliğinin ihlal edildiğini belirtiyor.
“Aslında yaklaşık yüz tane var. Tüm WP güvenlik açığı boyunca. Ne yazık ki, birçok sağlayıcı/sahip tepki vermiyor,” tweetlendi Savçenko.
BleepingComputer, diğer virüslü siteleri bulmak için komut dosyasını araştırırken, aynı komut dosyasının Rus web sitelerine saldırılar düzenlemek için kullanılan Ukrayna yanlısı site https://stop-russian-desinformation.near.page tarafından kullanıldığını keşfetti.
Siteyi ziyaret ederken, kullanıcıların tarayıcıları 67 Rus web sitesine DDoS saldırıları yapmak için kullanılır.
Bu site, Rus web sitelerine karşı DDoS saldırıları gerçekleştirmek için ziyaretçilerin tarayıcılarını kullanacağını açıklarken, güvenliği ihlal edilmiş WordPress siteleri, web sitesi sahiplerinin veya ziyaretçilerinin bilgisi olmadan komut dosyalarını kullanır.