Istraživači otkrivaju malver koji se predstavlja kao WordPress dodatak za keširanje
Istraživači iz oblasti sajber bezbednosti su otkrili novi sofisticirani oblik malvera koji se maskira kao WordPress dodatak kako bi prikriveno kreirao administratorske naloge i daljinski kontrolisao kompromitovani sajt.
Razmera napada i tačan početni ulazni vektor koji se koristi za kompromitaciju sajtova trenutno su nepoznati
“Uz profesionalan otvarajući komentar koji sugeriše da je reč o dodatku za keširanje, ovaj zlonamerni kod sadrži brojne funkcije, dodaje filtere kako bi sprečio sebe da se pojavi na listi aktiviranih dodataka, i ima funkcionalnost za proveru da li je skripta i dalje operativna, kao i sposobnost izmene fajlova”, izjavio je Wordfence.
Ovaj dodatak takođe omogućava aktiviranje i deaktiviranje proizvoljnih dodataka na sajtu daljinski, kao i kreiranje lažnih administratorskih naloga sa korisničkim imenom “superadmin” i unapred definisanim lozinkom.
Kao pokušaj da se izbrišu tragovi kompromitacije, ima funkciju nazvanu “_pln_cmd_hide” koja je dizajnirana da ukloni superadmin nalog kada više nije potreban. Neke od drugih značajnih funkcija malvera uključuju sposobnost daljinskog aktiviranja različitih zlonamernih funkcija, izmenu sadržaja postova i stranica, ubacivanje spam linkova ili dugmadi i indeksiranje sumnjivog sadržaja od strane pretraživača kako bi se posetioci sajta preusmerili na sumnjive lokacije.
“Uzete zajedno, ove funkcije pružaju napadačima sve što im je potrebno da daljinski kontrolišu i monetizuju sajt žrtve, na štetu SEO rejtinga sajta i privatnosti korisnika”, rekao je istraživač Marco Wotschka. “Daljinsko aktiviranje dodataka, kreiranje i brisanje administratorskih korisnika, kao i uslovno filtriranje sadržaja omogućavaju ovom backdoor-u da izbegne laku detekciju od strane neiskusnih korisnika.”
Razmera napada i tačan početni ulazni vektor koji se koristi za kompromitaciju sajtova trenutno su nepoznati.
Ova vest dolazi u trenutku kada je Sucuri otkrio da je više od 17.000 WordPress sajtova kompromitovano u septembru 2023. godine sa Balada Injector malverom, kako bi dodavali zlonamerne dodatke i kreirali lažne blog administratorske naloge.
Izvor: Thehackernews