Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новое вредоносное ПО маскируется под легитимный плагин кэширования и заражает сайты WordPress

13/10/23

Signs-Your-WordPress-Site-Is-Hacked-And-How-to-Fix-It-01-1-scaled

Вредоносное ПО представляет собой бэкдор со множеством функций, которые позволяют управлять плагинами и скрываться на зараженных сайтах, заменять контент или перенаправлять определенных пользователей на вредоносные ресурсы, пишет Securitylab.

Компания Defiant, разработчик плагина безопасности Wordfence для WordPress, обнаружила вредоносное ПО код в июле во время очистки одного из сайтов. При более тщательном изучении бэкдора исследователи обратили внимание, что в начале кода находится «профессионально выполненный вступительный комментарий», имитирующий инструмент кэширования, который обычно помогает снизить нагрузку на сервер и улучшить время загрузки страниц.

Маскировка под такой инструмент кажется обдуманной – так киберпреступники обеспечили «незаметность» бэкдора во время ручной проверки. Также вредоносный плагин настроен на исключение себя из списка «активных плагинов» для уклонения от обнаружения.

Вредоносное ПО обладает следующими возможностями:

  1. Создание пользователей – функция создает пользователя с именем «superadmin» с жестко закодированным паролем и правами администратора, в то время как вторая функция может удалить этого пользователя, чтобы стереть следы заражения.
  2. Создание поддельного администратора на сайте.
  3. Обнаружение ботов – когда посетителей идентифицируют как ботов (например, поисковые роботы), вредоносный код предоставляет им другой контент, например, спам, что приводит к индексации зараженного сайта с вредоносным контентом.
  4. Замена контента – вредоносный код может изменять контент и содержание страниц, вставляя спам-ссылки или кнопки. При этом администраторам сайта отображается первоначальный, неизмененный контент, чтобы скрыть факт компрометации.
  5. Управление плагинами – операторы вредоносного ПО могут удаленно активировать или деактивировать произвольные плагины WordPress на зараженном сайте, а также очищать свои следы в базе данных сайта.
  6. Удаленный вызов – бэкдор проверяет определенные строки useragent, позволяя злоумышленникам удаленно активировать различные вредоносные функции.

Функции вредоносного ПО предоставляют хакерам все необходимое для удаленного управления и монетизации заражённого сайта, что вредит рейтингу SEO сайта и приватности пользователей. На данный момент Defiant не предоставляет деталей о количестве скомпрометированных сайтов, и исследователи еще не определили первоначальный вектор доступа.

Отметим, что типичные методы компрометации сайта включают использование украденных учетных данных, брутфорс или эксплуатацию уязвимости в существующем плагине или теме. Поэтому владельцам сайтов следует использовать надёжные и уникальные учетные данные для аккаунтов администраторов, обновлять плагины, а также удалять неиспользуемые дополнения и неактивных пользователей.

Темы:WordPressУгрозыDefiantплагины
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...