В плагине для Wordpress обнаружен бэкдор
Бэкдор содержался в поддельно плагине X-WP-SPAM-SHIELD-PRO.
Неизвестный хакер внедрил бэкдор в исходный код плагина для WordPress, маскирующегося под средство защиты от спама под названием X-WP-SPAM-SHIELD-PRO.
По всей видимости, Злоумышленник пытался использовать репутацию популярного инструмента для защиты от спама WordPress WP-SpamShield Anti-Spam. Поддельны плагин содержит бэкдор, позволяющий хакеру создать собственную учетную запись администратора на атакованном сайте, загрузить файлы на серверы жертвы, отключить все плагины и пр.
Вредоносное поведение распространяется на все файлы поддельно плагина. В частности, файл class-social-facebook.php маскируется под средство защиты от спама в социальных сетях и отправляет Злоумышленник список плагинов пользователя и при необходимости отключает их. Цель отключения всех плагинов заключается в том, чтоб деактивировать все плагины, блокирующие доступ к функциям авторизации или детектирующие попытки неавторизованного входа. Файлы class-term-metabox-formatter.php и class-admin-user-profile.php отправляют Злоумышленник информацию о версии WordPress и список всех пользователей с правами администратора. Plugin-header.php добавляет учетную запись с правами администратора под именем mw01main. Файл wp-spam-shield-pro.php связывается с сервером хакера, расположенном на mainwall.org, осведомляя его о установке вредоносного плагина новым пользователем. Информация, передаваемая этим файлом, включает учетные данные, URL-адресов зараженного сайта и IP-адрес сервера. Wp-spam-shield-pro.php также содержит вредоносный код, позволяющий Злоумышленник загрузить на сайт жертвы ZIP-архив, распаковать его и исполнить хранящиеся внутри файлы.
Как полагают эксперты по безопасности из компании Sucuri, для распространения фальшивки Злоумышленник использовал скомпрометированную версию известного пакета плагинов для Wordpress All In One SEO Pack. Злоумышленник НЕ публиковал плагин в официальном репозитории WordPress, распространяемо его через другие источники.
Напомним, ранее бэкдор был обнаружен в еще одном плагине для Wordpress - Display Widgets. Вредоносный код был выявлен в версиях Display Widgets 2.6.1 и Display Widgets 2.6.3. К моменту, когда команда WordPress удалила вредоносные версии плагина из официального репозитория, их уже успели установить более 200 тыс. пользователей.
Неизвестный хакер внедрил бэкдор в исходный код плагина для WordPress, маскирующегося под средство защиты от спама под названием X-WP-SPAM-SHIELD-PRO.
По всей видимости, Злоумышленник пытался использовать репутацию популярного инструмента для защиты от спама WordPress WP-SpamShield Anti-Spam. Поддельны плагин содержит бэкдор, позволяющий хакеру создать собственную учетную запись администратора на атакованном сайте, загрузить файлы на серверы жертвы, отключить все плагины и пр.
Вредоносное поведение распространяется на все файлы поддельно плагина. В частности, файл class-social-facebook.php маскируется под средство защиты от спама в социальных сетях и отправляет Злоумышленник список плагинов пользователя и при необходимости отключает их. Цель отключения всех плагинов заключается в том, чтоб деактивировать все плагины, блокирующие доступ к функциям авторизации или детектирующие попытки неавторизованного входа. Файлы class-term-metabox-formatter.php и class-admin-user-profile.php отправляют Злоумышленник информацию о версии WordPress и список всех пользователей с правами администратора. Plugin-header.php добавляет учетную запись с правами администратора под именем mw01main. Файл wp-spam-shield-pro.php связывается с сервером хакера, расположенном на mainwall.org, осведомляя его о установке вредоносного плагина новым пользователем. Информация, передаваемая этим файлом, включает учетные данные, URL-адресов зараженного сайта и IP-адрес сервера. Wp-spam-shield-pro.php также содержит вредоносный код, позволяющий Злоумышленник загрузить на сайт жертвы ZIP-архив, распаковать его и исполнить хранящиеся внутри файлы.
Как полагают эксперты по безопасности из компании Sucuri, для распространения фальшивки Злоумышленник использовал скомпрометированную версию известного пакета плагинов для Wordpress All In One SEO Pack. Злоумышленник НЕ публиковал плагин в официальном репозитории WordPress, распространяемо его через другие источники.
Напомним, ранее бэкдор был обнаружен в еще одном плагине для Wordpress - Display Widgets. Вредоносный код был выявлен в версиях Display Widgets 2.6.1 и Display Widgets 2.6.3. К моменту, когда команда WordPress удалила вредоносные версии плагина из официального репозитория, их уже успели установить более 200 тыс. пользователей.
Комментарии