Μια νέα καμπάνια κακόβουλου λογισμικού που στοχεύει στους ιστότοπους του WordPress χρησιμοποιεί ένα κακόβουλο plugin που μεταμφιέζεται ως εργαλείο ασφαλείας για να εξαπατήσει τους χρήστες στην εγκατάσταση και την εμπιστοσύνη του.
Σύμφωνα με τους ερευνητές του WordFence, το κακόβουλο λογισμικό παρέχει επιτιθέμενους με επίμονη πρόσβαση, απομακρυσμένη εκτέλεση κώδικα και έγχυση JavaScript. Ταυτόχρονα, παραμένει κρυμμένο από το ταμπλό του plugin για να αποφύγει την ανίχνευση.
Το WordFence ανακάλυψε για πρώτη φορά το κακόβουλο λογισμικό κατά τη διάρκεια ενός καθαρισμού ιστότοπου στα τέλη Ιανουαρίου 2025, όπου βρήκε ένα τροποποιημένο αρχείο WP-Cron.php, το οποίο δημιουργεί και ενεργοποιεί προγραμματικά ένα κακόβουλο plugin που ονομάζεται «WP-Antymalwary-Bot.php».
Άλλα ονόματα plugin που χρησιμοποιούνται στην καμπάνια περιλαμβάνουν:
- addons.php
- wpconsole.php
- WP-Performance-Booster.php
- scr.php
Εάν το plugin διαγραφεί, το wp-cron.php επαναδημιουργεί και επανενεργοποιεί αυτόματα την επόμενη επίσκεψη στο site.
Χωρίς αρχεία καταγραφής διακομιστών για τον εντοπισμό της ακριβούς αλυσίδας μόλυνσης, το WordFence υποθέτει ότι η λοίμωξη συμβαίνει μέσω συμβιβασμένου λογαριασμού φιλοξενίας ή διαπιστευτηρίων FTP.
Δεν είναι γνωστά πολλά για τους δράστες, αν και οι ερευνητές σημείωσαν ότι ο διακομιστής εντολών και ελέγχου (C2) βρίσκεται στην Κύπρο και υπάρχουν χαρακτηριστικά παρόμοια με μια επίθεση εφοδιαστικής αλυσίδας του Ιουνίου 2024.
Μόλις ενεργοποιηθεί στο διακομιστή, το plugin εκτελεί έναν έλεγχο αυτο-στάθμευσης και στη συνέχεια δίνει την πρόσβαση του Administrator Administrator.
“Το plugin παρέχει άμεση πρόσβαση διαχειριστή σε ηθοποιούς απειλής μέσω της λειτουργίας έκτακτης ανάγκης_login_all_admins,” εξηγεί το WordFence στο γράψιμό του.
“Αυτή η λειτουργία χρησιμοποιεί την παράμετρο Emergency_Login για να επιτρέψει στους επιτιθέμενους να αποκτήσουν πρόσβαση διαχειριστή στον πίνακα ελέγχου.”
“Εάν παρέχεται ο σωστός κωδικός πρόσβασης ClearText, η λειτουργία μεταφέρει όλες τις εγγραφές χρήστη του διαχειριστή από τη βάση δεδομένων, επιλέγει το πρώτο και καταγράφει τον εισβολέα ως χρήστη”.
Στη συνέχεια, το plugin καταγράφει μια μη αυθεντική διαδρομή προσαρμοσμένου REST API που επιτρέπει την εισαγωγή του αυθαίρετου κώδικα PHP σε όλα τα αρχεία Header.php του ενεργού θεμάτων, εκκαθάριση των προσθετικών προσθηκών και άλλες εντολές που επεξεργάζονται μέσω μιας παραμέτρου ανάρτησης.
Μια ενημερωμένη έκδοση του κακόβουλου λογισμικού μπορεί επίσης να εισαγάγει JavaScript με βάση το base64 στον ιστότοπο
Τμήμα, πιθανόν να εξυπηρετούν διαφημίσεις επισκεπτών, ανεπιθύμητα μηνύματα ή να τους ανακατευθύνουν σε μη ασφαλείς ιστότοπους.
Εκτός από τους δείκτες που βασίζονται σε αρχεία, όπως τα αναφερόμενα plugins, οι ιδιοκτήτες ιστότοπων θα πρέπει να ελέγχουν τα αρχεία τους “wp-cron.php” και “header.php” για απροσδόκητες προσθήκες ή τροποποιήσεις.
Τα αρχεία καταγραφής πρόσβασης που περιέχουν «exclance_login», ‘check_plugin,’ ‘urlchange’ και ‘key’ θα πρέπει επίσης να χρησιμεύσουν ως κόκκινες σημαίες, δικαιολογώντας περαιτέρω διερεύνηση.
VIA: bleepingcomputer.com
