Yeni WordPress Kötü Amaçlı Yazılımı Ödeme Sayfalarında Gizleniyor ve Cloudflare'ı Taklit Ediyor

Siber güvenlik araştırmacıları, WordPress web sitelerini hedef alan, kredi kartı bilgilerini, kullanıcı oturum açma bilgilerini ve hatta kurbanların profillerini çalabilen son derece gelişmiş bir kötü amaçlı yazılım kampanyası keşfettiler.

Wordfence Threat Intelligence Team tarafından 16 Mayıs 2025'te keşfedilen bu kötü amaçlı yazılım, aldatıcı bir WordPress eklentisi olarak paketlenmiştir ve daha önce hiç görülmemiş anti-algılama yöntemleri kullanır. Özellikle yenilikçi bir taktik, doğrudan enfekte olmuş web sitelerinde canlı bir yönetim sistemi barındırmayı içerir ve bu da tespit edilmesini zorlaştırır.

Wordfence'in resmi blog yazısı , bu karmaşık operasyonun en az Eylül 2023'ten beri aktif olduğunu ortaya koyuyor. Araştırmacılar, kötü amaçlı yazılımın 20'den fazla örneğini analiz ederek, kod karıştırma, analizden kaçınma teknikleri ve geliştirici araçlarını tespit etme yolları dahil olmak üzere tüm sürümlerde ortak özellikler ortaya çıkardı.

Örneğin, kötü amaçlı yazılım gizli kalmak için yönetici sayfalarında çalışmaktan akıllıca kaçınır ve yalnızca ödeme ekranlarında etkinleşir. Daha yeni sürümler, kullanıcıları kandırmak için sahte ödeme formları bile oluşturur ve Cloudflare güvenlik kontrollerini taklit eder. Çalınan bilgiler genellikle resim web adresleri olarak gizlenerek gönderilir.

Araştırmacılar, yalnızca ödeme bilgilerini çalmanın ötesinde, bu kötü amaçlı yazılımın her biri farklı hedeflere sahip üç farklı sürümünü buldu. Bir sürüm, mobil kullanıcılara sahte reklamlar göstermek için Google Ads'i kurcaladı. Bir diğeri ise WordPress oturum açma bilgilerini çalmak için tasarlanmıştı.

Üçüncü versiyon, web sitelerindeki meşru bağlantıları kötü amaçlı olanlarla değiştirerek daha fazla kötü amaçlı yazılım yayar. Bu çeşitli işlevlere rağmen, çekirdek yazılım çerçevesi tutarlı kaldı ve özelliklerini her belirli saldırı için uyarladı. Bazı versiyonlar, çalınan verileri gerçek zamanlı olarak göndermek ve kullanıcı eylemlerini izlemek için mesajlaşma uygulaması Telegram'ı bile kullandı.

“İncelenen bir örnekte ayrıca, hem kullanıcı aldatma aygıtı hem de bot karşıtı filtre olarak hizmet etmesi amaçlanan, tam ekran ve çok dilli bir ekran olarak dinamik olarak enjekte edilen şaşırtıcı derecede eksiksiz bir sahte insan doğrulama zorluğu da bulunuyordu. Bu, kötü amaçlı yazılımlar için inanılmaz derecede gelişmiş özellikler içeriyor; örneğin, birden fazla dilde yerelleştirilmiş metin, RTL dilleri için CSS desteği ve karanlık mod, animasyonlar ve dönen SVG'ler gibi etkileşimli öğeler ve daha önce nadiren karşılaşılan bir karmaşıklığı ortaya çıkaran kesin bir Cloudflare marka kimliği taklidi.”

Paolo Tresso – Wordfence

Önemli bir keşif, WordPress Core adlı sahte bir WordPress eklentisiydi. Zararsız görünse de, saldırganların çalınan verileri doğrudan tehlikeye atılmış web sitesinden yönetmelerine olanak tanıyan gizli JavaScript kodu ve PHP betikleri içeriyordu.

Bu sahte eklenti, sahte siparişleri tamamlanmış olarak işaretlemek için popüler bir e-ticaret platformu olan WooCommerce'in belirli özelliklerini de kullandı ve bu da gecikme tespitine yardımcı oldu. Gizli yönetim sistemi, çalınan ödeme verilerini doğrudan WordPress'te, özel bir "mesajlar" bölümü altında kategorize edilmiş şekilde depolar.

Bu tehdide karşı korunmak için web sitesi yöneticileri, saldırganlarla bağlantılı api-service-188910982.website ve graphiccloudcontent.com gibi belirli alan adları da dahil olmak üzere, tehlikeye dair işaretler aramalıdır. Wordfence, bu kötü amaçlı yazılım için tespit imzalarını 17 Mayıs - 15 Haziran 2025 tarihleri ​​arasında premium kullanıcılarına yayınladı ve ücretsiz kullanıcılar bunları standart 30 günlük gecikmeden sonra aldı.