Hakeri su uhvaćeni kako kriju svoj malver u WordPress direktorijumu ‘mu-plugins’ kako bi izbjegli rutinske bezbjednosne provjere, upozorava Sucuri.
Mu-plugins, skraćeno od Must-Use pluginovi, automatski se učitavaju na svakoj stranici, ne zahtijevaju aktivaciju i ne pojavljuju se u standardnom WordPress interfejsu za dodatke. To ovaj direktorijum čini privlačnom metom za napadače, koji su već ranije viđeni kako ga zloupotrebljavaju za prikrivene infekcije.
U februaru je Sucuri upozorio na sumnjive fajlove index.php i test-mu-plugin.php u mu-plugins direktorijumu, koji su sadržali kod za izvršavanje dodatnih malicioznih sadržaja, što je rezultiralo postavljanjem backdoora na kompromitovane sajtove.
Sada kompanija saopštava da je otkrila još malvera skrivenog u istom direktorijumu, dizajniranog da preusmjeri posjetioce sajtova na eksternu, malicioznu stranicu; da kreira web shell za izvršavanje komandi, omogućavajući napadačima kontrolu nad sajtom; te da ubrizga spam sadržaj na sajt.
Fajlovi, nazvani redirect.php, index.php i custom-js-loader.php, imitiraju legitimne WordPress funkcije. Međutim, neobično ponašanje sajta i prisustvo novih fajlova u mu-plugins direktorijumu trebalo bi da izazove sumnju, ističe Sucuri.
“Administratori sajtova mogu primijetiti povećanu upotrebu servera bez jasnog objašnjenja, kao i neočekivane izmjene fajlova ili uključivanje neovlašćenog koda u ključne direktorijume,” dodaje kompanija.
Skript skriven unutar redirect.php fajla izvršava se u zavisnosti od toga da li je posjetilac administrator, bot ili običan korisnik, prikazujući lažno ažuriranje pretraživača ili sistema kako bi naveo korisnika da izvrši maliciozni kod. Ovaj kod može ubrizgati backdoor, drugi malver ili ukrasti podatke posjetioca.
U fajlu index.php napadači su sakrili funkciju koja preuzima i izvršava PHP skriptu sa udaljene lokacije. Sucuri upozorava da napadači mogu izmijeniti udaljeni sadržaj kako bi dinamički ubrizgavali novi malver na zaraženi sajt.
Bezbjednosna konferencija o industrijskoj sajber bezbjednosti
Ubrizgavanje web shell-a u kompromitovani sajt, objašnjavaju iz bezbjednosne firme, omogućava napadačima daljinsku kontrolu nad sajtom, što im omogućava da izvršavaju komande, otpremaju fajlove, kradu podatke i sprovode druge vrste napada.
Treći identifikovani malver koristi JavaScript injekciju kako bi zamijenio slike, mijenjao linkove na zaraženom sajtu i presretao klikove, prikazujući maliciozne pop-up prozore umjesto da korisnika odvede na željenu destinaciju.
“Konačni cilj ovih infekcija izgleda da je kombinacija monetizacije i opstanka. Svaka od ovih tehnika donosi finansijsku korist napadaču, dok istovremeno skriva njegov kod,” saopštio je Sucuri, naglašavajući da su sajtovi mogli biti zaraženi preko ranjivih dodataka ili tema, kompromitovanih kredencijala, zloupotrijebe slabih dozvola fajlova ili zastarjelih konfiguracija servera.
Izvor: SecurityWeek
