Dünya genelinde 3.500’den fazla web sitesi, tarayıcı tabanlı kripto madenciliği için kullanılan JavaScript kodlarıyla sessizce ele geçirildi. CoinHive gibi araçlarla bir dönem yaygın olan bu saldırılar, son yıllarda tarayıcı üreticilerinin aldığı önlemlerle durdurulmuştu. Ancak yeni bir kampanyayla birlikte bu saldırı yöntemi yeniden gündeme geldi.
Tarayıcı tabanlı saldırılar geri döndü
Güvenlik araştırmacıları, c/side tarafından yürütülen analizlerde, JavaScript içerisine gizlenmiş ve karmaşıklaştırılmış şekilde yerleştirilen bir kripto madencisinin tespit edildiğini açıkladı. Bu kod, cihazın işlem gücünü test ederek arka planda Web Worker’lar çalıştırıyor ve herhangi bir uyarı ya da yavaşlama fark edilmeden madencilik işlemini başlatıyor.
Daha dikkat çekici olan ise, saldırganların WebSocket teknolojisini kullanarak dış sunuculardan görevler çekmesi ve madencilik yoğunluğunu cihaza göre dinamik şekilde ayarlaması. Bu sayede sistem kaynakları dikkat çekecek şekilde kullanılmıyor ve saldırı uzun süre fark edilmeden devam ediyor.
Araştırmacı Himanshu Anand, bu yöntemin özellikle gizliliğe odaklanarak tasarlandığını belirtti. Kullanıcılar, ziyaret ettikleri site üzerinden herhangi bir şekilde bilgilendirilmeden kripto para madenciliği sürecine dahil ediliyor ve sistemleri sessizce gelir kaynağına dönüşüyor. Web sitelerinin nasıl ele geçirildiği ise hâlâ netlik kazanmış değil.
Saldırıya maruz kalan sitelerin barındırdığı JavaScript miner kodunun, daha önce kredi kartı bilgilerini çalmaya yönelik Magecart saldırılarında da kullanıldığı ortaya çıktı. Bu durum, saldırganların tek bir altyapı üzerinden hem kripto madenciliği hem de finansal veri hırsızlığı gibi farklı amaçlarla hareket ettiğini gösteriyor.
Aynı alan adlarıyla hem madencilik hem de ödeme formu enjeksiyonu gibi işlemlerin yürütülmesi, saldırganların JavaScript’i çok yönlü bir silah haline getirdiğini kanıtlıyor. Son haftalarda art arda gelen saldırı örnekleri, özellikle WordPress tabanlı web sitelerine odaklanıyor.
Saldırganlar, Google OAuth sistemine ait yasal bir bağlantı üzerinden yönlendirme yaparak kötü amaçlı JavaScript çalıştırıyor. Bunun yanında, Google Tag Manager (GTM) kodları WordPress veritabanına doğrudan enjekte edilerek ziyaretçiler, spam içerikli sitelere yönlendiriliyor.
Bazı saldırılar ise WordPress sitelerinin temel dosyalarını hedef alıyor. wp-settings.php dosyasına zararlı bir PHP kodu dahil edilerek komut ve kontrol sunucularına bağlantı kuruluyor, bu sayede arama motoru sıralamaları manipüle edilip spam içerik yayılıyor.
Temalara yerleştirilen zararlı kodlarla da tarayıcı yönlendirmeleri gerçekleştiriliyor. Ayrıca arama motoru botlarını algılayarak yalnızca bu botlara özel spam içerik sunan sahte eklentiler de tespit edildi. En dikkat çekici vakalardan biri ise popüler WordPress eklentisi Gravity Forms’un 2.9.11.1 ve 2.9.12 sürümlerine yapılan tedarik zinciri saldırısı oldu.
Resmi indirme sayfası üzerinden yayılan arka kapılı sürümler, uzaktan bağlantı kurarak ek zararlı yazılımlar indiriyor ve sistemde yeni bir yönetici hesabı oluşturuyor. Eklentinin geliştiricisi RocketGenius, saldırıya dair detayları paylaşarak kullanıcıları güncelleme engelleri, yetkisiz erişim ve veri manipülasyonu gibi risklere karşı uyardı.
