>_ Steam Şərhlərində Gizlənən Payload: WordPress Ekosisteminə Yeni "Gamer" Hücumu

Günümüzün kibercinayətkarları artıq öz zərərli serverlərini (C2) host etməkdən yorulublar, çünki bu infrastruktur çox tez bir müddətdə aşkar edilir və bloklanır. Dərd varsa, dərmanı da var deyərək çox maraqlı bir həll yolu düşünüblər. Valve-ın milyonlarla insanın güvəndiyi nəhəng platformasını - Steam-i özlərinə gizli command and control (komanda mərkəzi) seçiblər. BleepingComputer tərəfindən işıqlandırılan GoDaddy Security-nin son hesabatına görə hackerlər üzdə tamamilə qanuni görünən Steam profillərinin comment(şərh) bölmələrindən istifadə edərək təxmini 2000-ə yaxın WordPress saytını yoluxdurub və idarə ediblər.

// Steqanoqrafiya və Görünməz Unicode: Kod Necə Gizlədilir?

Gəlin bu prosesin necə həyata keçirildiyinə texniki detalları ilə dərindən nəzər yetirək. Təhlükəsizlik skanerlərini aldatmaq üçün istifadə olunan mexanizm olduqca maraqlıdır. Hackerlər standart C2 linklərini birbaşa mətn daxilində yazmırlar. Zərərli scriptləri invisible Unicode characters(görünməz Unicode simvolları) vasitəsilə gizlədərək Steam profillərində şərh kimi paylaşırlar. WordPress saytında əvvəlcədən yerləşdirilmiş zərərli kod (loader) cURL vastitəsilə həmin Steam profilini oxuyur, şərh daxilindəki gizli sıfırları və birləri (binary data) deşifr edir və yekunda hədəf linki bərpa edir. Bu klassik mətn əsaslı işləyən təhlükəsizlik divarlarını (WAF) tamamilə bypass etmək(yan keçmək) deməkdir.

Steam profil şərhi

Kod səviyyəsində bu zərərli skript WordPress tərəfində qanuni kitabxana kimi görünmək üçün wp_enqueue_script() funksiyasından istifadə edərək asahi-jquery-min-bundle ID-si altında səhifələrə injeksiya olunur.

GoDaddy bildirir ki, hücumçu aşağıdakı 6 Unicode simvollarından istifadə edir:

• Zero-width non-joiner (U+200C)
• Zero-width joiner (U+200D)
• Function application (U+2061)
• Invisible times (U+2062)
• Invisible separator (U+2063)
• Invisible plus (U+2064)

// Server-Side Backdoor: "Persistent" Qalmağın Yolları

Təbii ki, məsələ sadəcə brauzer tərəfdə (client-side) JavaScript işlətməklə bitmir. Hücumçular həm də server tərəfdə PHP əsaslı təhlükəli bir backdoor yerləşdirirlər. Bu backdoor xüsusi hazırlanmış POST sorğularını və spesifik autentifikasiya kukilərini (authentication cookies) gözləyir. Əgər bura kənar şəxs sorğu göndərsə, heç bir result qayıtmır və buna görə həmin şəxs heçnə tapmır. Lakin hacker öz unikal kukisi ilə sorğu göndərdikdə backdoor aktivləşir və hackerin göndərdiyi Base64 formatlı PHP kodlarını serverdə icra edir. Bu da onlara saytın plugin və temalarını (themes) istədikləri an manipulyasiya etmək imkanı verir.

Hücumçunu kukisi ilə POST requesti

//Saytı Necə Qorumalı?

Əgər siz də WordPress istifadə edirsinizsə (2026-da WordPress…) dərhal aşağıdakı preventiv addımları atmalısınız ki, bu kimi hallardan zərər çəkməyəsiniz:

1. Serverinizdən kənara çıxan cURL sorğularını mütləq monitorinq edin. WordPressin durduq yerdə Steam Community profillərinə sorğu atması vəziyyətdən də göründüyü kimi çox anormal bir vəziyyətdir.
2. Şübhəli domenlərə outbound qoşulmaları bloklayın. (məs. “hello-mywordl[.]info”)
3. Saytınızda yoluxma şübhəsi varsa kodu manual olaraq, əllə təmizləməyə çalışmayın. Ən təmiz yol hər şeyin qaydasında olduğu təmiz ehtiyat nüsxəyə (known good backup) qayıtmağınız olacaq.

# KhazriSec status check
$ curl -s khazrisec.repo | grep "steam-malware-analysis"
Status: Critical. Don't trust your comments.