Google Uyardı: Yeni Siber Tehdit Grubu, EtherHiding Tekniğiyle 14 Bin WordPress Sitesini Hedef Aldı

Dünyadaki web sitelerinin ortalama yüzde 43’ü WordPress altyapısıyla çalışıyor. Bu nedenle WordPress’e yönelik her yeni saldırı, web güvenliği açısından büyük bir endişe kaynağı haline geliyor.
Dünyadaki web sitelerinin yaklaşık yüzde 43’ünün WordPress altyapısını kullanması nedeniyle, bu platforma yönelik her yeni saldırı, web güvenliği için büyük bir endişe kaynağı oluşturuyor.
Google Tehdit İstihbarat Grubu (GTIG) tarafından yayımlanan son rapora göre, UNC5142 kod adlı yeni bir hacker grubu, WordPress sitelerini hedef alan gelişmiş bir saldırı kampanyası yürütüyor. UNC5142, zayıf temalar, hatalı eklentiler veya savunmasız veritabanı kullanan WordPress sitelerini tespit ederek saldırılarına başlıyor. Saldırganlar, bu sitelere "CLEARSHORT" adlı çok aşamalı bir JavaScript indiricisi bulaştırıyor. Bu zararlı kod, daha sonra kötü amaçlı yazılımların internet genelinde yayılmasını sağlıyor.
YENI TEHDIT TEKNIĞI: ETHERHIDING
Google, bu saldırıların en dikkat çekici yönünün "EtherHiding" adı verilen yeni bir gizleme yöntemi olduğunu belirtiyor. EtherHiding, kötü amaçlı kodu halka açık bir blok zincirine yerleştirerek gizleme tekniği olarak tanımlanıyor. Bu yöntem, zararlı yazılımların geleneksel yöntemlerle tespit edilmesini neredeyse imkânsız hale getiriyor, çünkü blok zinciri üzerinde depolanan kodlar merkezi bir sunucuda bulunmadığı için silinmesi veya engellenmesi oldukça zorlaşıyor.
SOSYAL MÜHENDISLIK TUZAĞI: CLICKFIX
Saldırının bir sonraki aşamasında, blok zinciri üzerindeki akıllı sözleşme (smart contract) bir CLEARSHORT açılış sayfası oluşturuyor. Çoğu zaman Cloudflare geliştirici platformlarında barındırılan bu sayfa, "ClickFix" adlı bir sosyal mühendislik taktiğini kullanıyor. ClickFix, kullanıcıları kandırarak bilgisayarlarında Windows "Çalıştır" penceresi veya Mac Terminal uygulaması üzerinden kötü niyetli komutları çalıştırmaya yönlendiriyor.
FINANSAL MOTIVASYONLU SALDIRILAR DURDU MU?
GTIG, UNC5142 grubunun saldırılarının çoğunlukla finansal motivasyonlu olduğunu belirtiyor. Grup, Google tarafından 2023 yılından beri takip ediliyordu. Ancak rapora göre, UNC5142’nin faaliyetleri Temmuz 2025’te aniden durdu. Bu durum, hacker grubunun operasyonlarını sonlandırmış olabileceği gibi, yöntemlerini değiştirerek daha gizli biçimde saldırılarına devam etmesi anlamına da gelebilir.
14 BIN SITE ETKILENDI
Haziran 2025 itibarıyla GTIG, söz konusu hacker grubu tarafından ele geçirilmiş bir web sitesiyle ilişkili JavaScript içeren yaklaşık 14 bin web sayfası tespit etti. Kurum, "UNC5142, savunmasız WordPress sitelerini ayrım gözetmeksizin hedef alıyor" açıklamasını yaptı.
SIBER GÜVENLIK UYARISI
Siber güvenlik uzmanları, özellikle WordPress kullanıcılarını şu konularda uyarıyor:
Eklentilerin ve temaların daima güncel tutulması,
Güvenilir olmayan kaynaklardan tema veya eklenti indirilmemesi,
Site dosyalarının düzenli olarak zararlı yazılım taramasından geçirilmesi.
Google’ın bulguları, siber saldırıların artık yalnızca klasik virüslerle değil, blok zinciri teknolojisinin kötüye kullanımıyla da yeni bir evreye geçtiğini gösteriyor.
"Google Uyardı: Yeni Siber Tehdit Grubu, EtherHiding Tekniğiyle 14 Bin WordPress Sitesini Hedef Aldı" haberi, 20 Ekim 2025 tarihinde yazılmıştır. 20 Ekim 2025 tarihinde de güncellenmiştir.

YORUM YAZ
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.