WordPress orqali yashirincha tarqalayotgan zararli dastur: Windows foydalanuvchilari nishonga olingan!

So‘nggi vaqtlarda WordPress saytlariga qaratilgan murakkab va ko‘p bosqichli zararli hujumlar seriyasi aniqlanib, xavfsizlik mutaxassislarini jiddiy xavotirga soldi. Bu hujumlar orqali xakerlar foydalanuvchilarni sezdirmasdan Windows tizimlariga zararli dastur (client32.exe) yuklab, tizimni to‘liq nazoratga olishga muvaffaq bo‘lishmoqda.

Bu hujum tashqi ko‘rinishda mutlaqo sog‘lom va odatiy ko‘ringan WordPress sayt orqali amalga oshiriladi. Saytda hech qanday shubhali belgilar ko‘rinmasa-da, uning ichida maxfiy tarzda PHP orqali zararli kod – ya’ni orqa eshik (backdoor) joylashtirilgan bo‘ladi. Ushbu orqa eshik faqat aniq shartlar bajarilganda, masalan, saytga yangi foydalanuvchi kirganda ishga tushadi.

🕵️ Nimalar aniqlandi?

Xavfsizlik tadqiqotchilari tomonidan o‘rganilgan ushbu tahdid dastlab oddiy WordPress buzilishi sifatida ko‘ringan. Ammo chuqurroq tahlil davomida ma’lum bo‘ldiki, bu kampaniya quyidagilarni o‘z ichiga oladi:

  • PHP orqali ishlaydigan orqa eshik (header.php),
  • IP-manzillar asosida foydalanuvchini kuzatish va ro‘yxatga olish (count.txt),
  • Obfuskatsiyalangan kodlar yordamida aniqlanishdan yashirinish,
  • Faqat POST so‘rovlarga javob berish orqali yashirin ishlash,
  • Har bir qurbon faqat bir marotaba zararlanishi uchun IP-filtrlash.

🧠 Qanday ishlaydi?

Zararli PHP skripti foydalanuvchini tahlil qiladi va agar u yangi qurbon bo‘lsa, PowerShell buyruqlari orqali ZIP arxivli troyan faylini yuklab olish uchun moslashtirilgan .bat fayl yaratadi. Bu arxiv foydalanuvchining %APPDATA% papkasiga joylashtiriladi.

Ushbu fayl ochilgandan so‘ng, zararli client32.exe fayli quyidagilarni amalga oshiradi:

  • 🔁 Windows reyestriga yoziladi: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run orqali avtomatik ishga tushadi.
  • 🌐 Tashqi serverga ulanadi: 5.252.178.123 manziliga 443-port orqali aloqa o‘rnatadi.
  • 🧹 Tozalik illyuziyasini yaratadi: Dastlabki yuklash izlarini o‘chiradi, ammo asosiy zararli fayl tizimda qoladi.

❗ Nima uchun bu tahdid jiddiy?

Bu kampaniya oddiy foydalanuvchilarga emas, balki WordPress saytlarini yuritayotgan administratorlar uchun ham yomon xabar. Sababi:

Kompaniyaning barcha foydalanuvchi ma’lumotlari xavf ostida qoladi.

Tashqi ko‘rinishda hech qanday o‘zgarish bo‘lmaydi;

Odatdagi xavfsizlik vositalari tomonidan aniqlanmaydi;

Windows tizimlariga o‘zini mustahkam joylashtirib oladi;

🛡️ Tavsiyalar

  • WordPress va barcha plaginlar yangilangan bo‘lishi shart.
  • Har bir fayl o‘zgarishlarini monitoring qilish kerak.
  • Serverga ruxsatsiz kirishlar bo‘yicha loglar doimiy nazoratda bo‘lishi lozim.
  • Anti-malware vositalarini faqatgina imzoga emas, balki xatti-harakatga asoslangan aniqlash tizimlari bilan kuchaytirish zarur.