'Gotrim' adlı yeni bir GO tabanlı Botnet kötü amaçlı yazılım, web sitesini kendi kendine barındırılan WordPress web siteleri için tarıyor ve yöneticinin şifresini zorlamaya ve sitenin kontrolünü ele geçirmeye çalışıyor.
Bu uzlaşma, kötü amaçlı yazılım dağıtımına, kredi kartı çalma senaryolarının enjeksiyonuna, kimlik avı sayfalarının barındırılması ve diğer saldırı senaryolarına yol açabilir ve potansiyel olarak ihlal edilen sitelerin popülaritesine bağlı olarak milyonlarca insanı etkileyebilir.
Botnet, siber suç yeraltında kötü şöhretlidir, ancak Fortinet, kötü amaçlı yazılımın hala devam eden bir çalışma olsa da, zaten güçlü yetenekleri olduğunu bildirerek onu analiz eden ilk siber güvenlik firması oldu.
Fortinet tarafından tespit edilen Gotrim kötü amaçlı yazılım kampanyası Eylül 2022'de başladı ve halen devam ediyor.
Kötü amaçlı yazılım operatörleri, BOTNET ağına uzun bir hedef web sitesi ve bir dizi kimlik bilgilerini besler. Kötü amaçlı yazılım daha sonra her bir siteye bağlanır ve girilen kimlik bilgilerini kullanarak yönetici hesaplarını kabartmaya çalışır.
Başarılı olursa, Gotrim ihlal edilen sitede oturum açar ve yeni oluşturulan MD5 karma şeklinde bir bot kimliği dahil olmak üzere yeni enfeksiyonu komut ve kontrol sunucusuna (C2) rapor eder.
Ardından, kötü amaçlı yazılım, Gotrim bot istemcilerini sabit kodlu bir URL'den almak için PHP komut dosyaları kullanır ve bunlara ihtiyaç duyulmadığı için hem komut dosyasını hem de kaba zorlayıcı bileşeni enfekte sistemden siler.
Botnet iki modda çalışabilir: "istemci" ve "sunucu".
İstemci modunda, kötü amaçlı yazılım BotNet'in C2 ile bağlantısını başlatır, sunucu modunda bir HTTP sunucusu başlatır ve C2'den gelen istekleri bekler.
İhlal edilen uç nokta doğrudan İnternet'e bağlıysa, GOTRIM varsayılan olarak sunucu moduna geçer.
Gotrim, her iki dakikada bir C2'ye Beacon istekleri gönderir ve 100 yeniden denemeden sonra yanıt alamazsa sona erer.
C2, aşağıdakileri destekleyen GOTRIM botuna şifreli komutlar gönderebilir:
WordPress güvenlik ekibi tarafından tespit etmek için GOTRIM, WordPress.com'da barındırılan siteleri hedeflemeyecek ve bunun yerine yalnızca kendi kendine barındırılan siteleri hedeflemeyecektir.
Bu, "WordPress.com" için 'yönlendirici' HTTP üstbilgisini kontrol ederek yapılır ve tespit edilirse siteyi hedeflemeyi durdurur.
"Yönetilen WordPress barındırma sağlayıcıları, WordPress.com gibi, genellikle barındıran WordPress web sitelerinden daha fazla kaba zorlama girişimlerini izlemek, tespit etmek ve engellemek için daha fazla güvenlik önlemi uyguladığı için, başarı şansı keşfedilme riskine değmez," diye açıklıyor. araştırmacılar.
Ayrıca, Gotrim, anti-bot korumalarını atlamak için 64 bit Windows isteklerinde meşru Firefox'u taklit ediyor.
Son olarak, hedeflenen WordPress sitesi botları durdurmak için bir CAPTCHA eklentisi kullanıyorsa, kötü amaçlı yazılım algılar ve karşılık gelen çözücüyü yükler. Şu anda yedi popüler eklenti desteklemektedir.
Fortinet ayrıca Gotrim Botnet'in "1GB.ru" da barındırılan sitelerden kaçındığını, ancak bunu yapmanın kesin nedenlerini belirleyemediğini söyledi.
GOTRIM tehdidini azaltmak için, WordPress site sahipleri, 2FA eklentisini kabarmak veya kullanmak zor olan güçlü yönetici hesap şifreleri kullanmalıdır.
Son olarak, WordPress yöneticileri, Sitedeki temel CMS yazılımını ve tüm etkin eklentileri, bilgisayar korsanlarının ilk uzlaşma için kullanabileceği bilinen güvenlik açıklarını ele alan en son kullanılabilir sürüme yükseltmelidir.
Clop Ransomware, ağlara erişim için TrueBot kötü amaçlı yazılımları kullanır
Yeni Zerobot Kötü Yazılım
Siber güvenlik araştırmacıları DDOS Botnet'i kazayla indirdi
Güncellenmiş rapperbot kötü amaçlı yazılım, DDOS saldırılarında oyun sunucularını hedefler
Masif Google SEO Zehirleme Kampanyası için Hacklenen 15.000 Site
Kaynak: Bleeping Computer