Новое вредоносное ПО маскируется под легитимный плагин кэширования и заражает сайты WordPress
13/10/23
Вредоносное ПО представляет собой бэкдор со множеством функций, которые позволяют управлять плагинами и скрываться на зараженных сайтах, заменять контент или перенаправлять определенных пользователей на вредоносные ресурсы, пишет Securitylab.
Компания Defiant, разработчик плагина безопасности Wordfence для WordPress, обнаружила вредоносное ПО код в июле во время очистки одного из сайтов. При более тщательном изучении бэкдора исследователи обратили внимание, что в начале кода находится «профессионально выполненный вступительный комментарий», имитирующий инструмент кэширования, который обычно помогает снизить нагрузку на сервер и улучшить время загрузки страниц.
Маскировка под такой инструмент кажется обдуманной – так киберпреступники обеспечили «незаметность» бэкдора во время ручной проверки. Также вредоносный плагин настроен на исключение себя из списка «активных плагинов» для уклонения от обнаружения.
Вредоносное ПО обладает следующими возможностями:
- Создание пользователей – функция создает пользователя с именем «superadmin» с жестко закодированным паролем и правами администратора, в то время как вторая функция может удалить этого пользователя, чтобы стереть следы заражения.
- Создание поддельного администратора на сайте.
- Обнаружение ботов – когда посетителей идентифицируют как ботов (например, поисковые роботы), вредоносный код предоставляет им другой контент, например, спам, что приводит к индексации зараженного сайта с вредоносным контентом.
- Замена контента – вредоносный код может изменять контент и содержание страниц, вставляя спам-ссылки или кнопки. При этом администраторам сайта отображается первоначальный, неизмененный контент, чтобы скрыть факт компрометации.
- Управление плагинами – операторы вредоносного ПО могут удаленно активировать или деактивировать произвольные плагины WordPress на зараженном сайте, а также очищать свои следы в базе данных сайта.
- Удаленный вызов – бэкдор проверяет определенные строки useragent, позволяя злоумышленникам удаленно активировать различные вредоносные функции.
Функции вредоносного ПО предоставляют хакерам все необходимое для удаленного управления и монетизации заражённого сайта, что вредит рейтингу SEO сайта и приватности пользователей. На данный момент Defiant не предоставляет деталей о количестве скомпрометированных сайтов, и исследователи еще не определили первоначальный вектор доступа.
Отметим, что типичные методы компрометации сайта включают использование украденных учетных данных, брутфорс или эксплуатацию уязвимости в существующем плагине или теме. Поэтому владельцам сайтов следует использовать надёжные и уникальные учетные данные для аккаунтов администраторов, обновлять плагины, а также удалять неиспользуемые дополнения и неактивных пользователей.