Otkrivena je sofisticirana kampanja malvera sa više faza koja cilja WordPress sajtove, koristeći složeni lanac infekcije za isporuku Windows trojanaca posjetiocima, a sve to uz potpuno prikrivanje od uobičajenih sigurnosnih provjera. Ovaj malver predstavlja značajan napredak u tehnikama web napada, kombinujući PHP backdoor-ove sa naprednim mehanizmima izbjegavanja radi uspostavljanja trajnog pristupa sistemima žrtava.
Početak napada odvija se naizgled besprijekornoj WordPress instalaciji, bez ikakvih vidljivih znakova kompromitovanja. Za razliku od klasičnih malver infekcija koje često rezultiraju vizuelnim promjenama ili sumnjivim preusmjeravanjima, ova kampanja djeluje potpuno ispod površine, čineći je izuzetno teškom za otkrivanje kako od strane administratora web-mjesta, tako i od strane sigurnosnih alata.
Istraživači iz Sucuri-ja su identifikovali ovu kompleksnu prijetnju nakon istrage nečega što je u početku izgledalo kao rutinsko kompromitovanje WordPress-a. Malver primjenjuje slojeviti pristup koji uključuje PHP droppere, kod koji je snažno obskuran, tehnike izbjegavanja zasnovane na IP adresama, automatski generisane batch skripte i zlonamjerni ZIP arhiv koji sadrži konačni Windows trojanac pod imenom client32.exe.
Mehanizam infekcije se zasniva na sofisticiranom PHP kontrolnom sistemu koji profiliše posjetioce i primjenjuje stroge mjere protiv analize. Ključna komponenta, header.php, funkcioniše kao centralno središte obavještajnih podataka, implementirajući IP-bazirano logovanje kako bi se spriječile višestruke infekcije sa iste lokacije. Ova datoteka odgovara samo na POST zahtjeve i održava crnu listu u datoteci count.txt kako bi pratila IP adrese posjetilaca, osiguravajući da svaka žrtva primi payload samo jednom.
Sistem isporuke malvera pokazuje izvanrednu tehničku sofisticiranost kroz svoje mogućnosti dinamičkog generisanja batch datoteka. Kada se identifikuje nova žrtva, header.php kreira Windows batch skriptu koja orkestrira cjelokupan proces infekcije. Ova skripta koristi PowerShell komande sa obskurnim sintaksama za preuzimanje zlonamjernog ZIP arhiva sa eksternih servera, ciljajući specifično direktorijum %APPDATA% za skladištenje payload-a.
Mehanizam postojanosti predstavlja jedan od najzabrinjavajućijih aspekata ove kampanje. Nakon izvršavanja, generisana batch skripta modificira Windows Registry dodavanjem unosa u HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, čime se osigurava automatsko pokretanje trojanac client32.exe prilikom pokretanja sistema. Ova modifikacija registra garantuje opstanak malvera kroz ponovno pokretanje sistema i korisničke sesije. Konačni payload uspostavlja backdoor vezu sa komandnim i kontrolnim serverom na adresi 5.252.178.123 na portu 443, omogućavajući mogućnosti daljinskog pristupa tipične za napredne perzistentne prijetnje. Malver uključuje mehanizme čišćenja koji uklanjaju početne tragove preuzimanja, istovremeno namjerno čuvajući ekstraktovanu izvršnu datoteku za nastavak rada. Ova kampanja naglašava rastuću sofisticiranost WordPress sistema za isporuku malvera i podvlači kritičnu potrebu za sveobuhvatnim sigurnosnim nadzorom koji prevazilazi tradicionalne metode detekcije zasnovane na potpisima.
