Novi malver se predstavlja kao legitimni plugin za keširanje koji cilja WordPress sajtove, omogućavajući hakerima da kreiraju administratorski nalog i kontrolišu aktivnost stranice.
Ovaj malver je backdoor s raznim funkcijama koje mu omogućavaju upravljanje pluginima i skrivanje od aktivnih na kompromitovanim web stranicama, zamjenu sadržaja ili preusmjeravanje određenih korisnika na zlonamjerne lokacije.
Lažni detalji plugina
Analitičari Defiant-a, kreatora sigurnosnog dodatka Wordfence za WordPress, otkrili su novi malver u julu dok su čistili web sajt.
Pažljivije pogledavši backdoor, istraživači su primijetili da dolazi “sa uvodnim komentarom profesionalnog izgleda” koji se maskira kao alat za keširanje, što obično pomaže u smanjenju opterećenja servera i poboljšanju vremena učitavanja stranica.
Odluka da se oponaša takav alat izgleda namjerna, osiguravajući da ostane neprimijećena tokom ručnih pregleda. Također, zlonamjerni dodatak je postavljen da se isključi sa liste “aktivnih dodataka” kao način da izbjegne kontrolu.
Malver ima sljedeće mogućnosti:
- Kreiranje korisnika – Funkcija kreira korisnika pod imenom ‘superadmin’ sa tvrdo kodiranom lozinkom i dozvolama na nivou administratora, dok druga funkcija može ukloniti tog korisnika kako bi izbrisala tragove infekcije
- Otkrivanje botova – Kada su posjetitelji identifikovani kao botovi (npr. pretraživači za indeksiranje), malver bi im servirao različite sadržaje, poput neželjene pošte, što bi ih natjeralo da indeksiraju kompromitovanu stranicu zbog zlonamjernog sadržaja. Kao takvi, administratori bi mogli vidjeti nagli porast prometa ili izvještaje korisnika koji se žale na preusmjeravanje na zlonamjerne lokacije.
- Zamjena sadržaja – malver može promijeniti postove i sadržaj stranice i umetnuti neželjene veze ili dugmad. Administratorima web stranice servira se nepromijenjen sadržaj kako bi se odgodila realizacija kompromisa.
- Kontrola plugina – Operateri malvera mogu daljinski aktivirati ili deaktivirati proizvoljne WordPress plugine na kompromitovanoj web lokaciji. Takođe čisti svoje tragove iz baze podataka sajta, tako da ova aktivnost ostaje skrivena.
- Daljinsko pozivanje – Backdoor provjerava određene nizove korisničkog agenta, omogućavajući napadačima da daljinski aktiviraju različite zlonamjerne funkcije.
“Uzete zajedno, ove karakteristike pružaju napadačima sve što im je potrebno za daljinsku kontrolu i unovčavanje stranice žrtve, nauštrb vlastitog SEO rangiranja i privatnosti korisnika”, navode istraživači u izvještaju.
U ovom trenutku, Defiant ne daje nikakve detalje o broju web stranica kompromitovanih novim zlonamjernim softverom i njegovi istraživači tek treba da odrede početni vektor pristupa.
Tipične metode za kompromitaciju web stranice uključuju ukradene kredencijale, brute-forcing lozinki ili iskorištavanje ranjivosti u postojećem dodatku ili temi.
Defiant je objavio potpis detekcije za svoje korisnike besplatne verzije Wordfence-a i dodao pravilo firewall-a kako bi zaštitio Premium, Care i Response korisnike od backdoor-a.
Stoga bi vlasnici web stranica trebali koristiti jake i jedinstvene kredencijale za administratorske račune, održavati svoje dodatke ažurnim i uklanjati neiskorištene dodatke i korisnike.
Izvor: Bleepingcomputer