Новая кампания, направленная на сайты WordPress, использует вредоносный плагин, замаскированный под инструмент безопасности, чтобы обманом заставить пользователей установить его и довериться ему.
По словам исследователей Wordfence, вредоносная программа предоставляет злоумышленникам постоянный доступ, удаленное выполнение кода и внедрение JavaScript. В то же время она остается скрытой на панели управления плагином, чтобы избежать обнаружения.
Впервые Wordfence обнаружила вредоносную программу во время чистки сайта в конце января 2025 года, где был найден модифицированный файл 'wp-cron.php', который создает и программно активирует вредоносный плагин под названием 'WP-antymalwary-bot.php'.
Другие названия плагинов, используемые в кампании, включают:
Если плагин удаляется, wp-cron.php создает его заново и активирует автоматически при следующем посещении сайта.
Не имея журналов сервера, которые помогли бы определить точную цепочку заражения, Wordfence предполагает, что заражение происходит через скомпрометированный хостинг-аккаунт или FTP-учетные данные.
О злоумышленниках известно немного, хотя исследователи отметили, что командно-контрольный (C2) сервер расположен на Кипре, а в его действиях прослеживаются черты, схожие с атакой на цепь поставок в июне 2024 года.
Будучи активным на сервере, плагин выполняет самопроверку статуса, а затем предоставляет злоумышленнику доступ администратора.
«Плагин предоставляет субъектам угроз немедленный доступ к администратору с помощью функции emergency_login_all_admins», - поясняет Wordfence в своем описании.
«Эта функция использует параметр emergency_login GET, чтобы позволить злоумышленникам получить доступ администратора к приборной панели».
«Если введен правильный пароль, функция извлекает из базы данных все записи о пользователях-администраторах, выбирает первую из них и регистрирует злоумышленника под ее именем.»
Далее плагин регистрирует неаутентифицированный пользовательский маршрут REST API, который позволяет вставлять произвольный PHP-код во все активные файлы header.php темы, очищать кэш плагина и выполнять другие команды, обрабатываемые через POST-параметр.
Обновленная версия вредоносной программы также может внедрять base64-декодированный JavaScript в раздел <head> сайта, вероятно, для показа посетителям рекламы, спама или перенаправления их на небезопасные сайты.
Помимо файловых индикаторов, таких как перечисленные плагины, владельцам сайтов следует внимательно изучить файлы 'wp-cron.php' и 'header.php' на предмет неожиданных добавлений или модификаций.
Журналы доступа, содержащие слова 'emergency_login', 'check_plugin', 'urlchange' и 'key', также должны служить красными флажками, требующими дальнейшего расследования.
328Базовая линия безопасности проектов с открытым исходным кодом, или OSPS Baseline, - это новая инициатива OpenSSF, направленная на укрепление безопасности проектов с открытым исходным кодом.
315В ходе довольно хитроумной атаки хакеры воспользовались слабым местом, позволившим им отправить поддельное письмо, которое казалось доставленным из систем Google, прошло все проверки, но при этом указывало на мошенническую страницу, на которой собирались логины.
336Исследователи кибербезопасности из компании Socket обнаружили вредоносный пакет npm, который перехватывает управление сервером во время платежных операций.
334Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии