Un hacker ha implementato una backdoor di WordPress che può nascondere la sua presenza fingendosi un plugin legittimo, riferisce la società di sicurezza WordPress Defiant.
Individuata durante la pulizia di un sito compromesso, la backdoor è stata progettata per funzionare nel contesto di WordPress, avendo così accesso a tutte le funzioni di cui avrebbe un normale plugin.
Per evitare di destare sospetti, il codice presentava all’utente anche un “commento di apertura dall’aspetto professionale che implicava che si trattasse di un plug-in di memorizzazione nella cache”, spiega il team Wordfence di Defiant.
Una volta installato, il malware aggiunge filtri specifici per non apparire nell’elenco dei plugin attivati, fornendo allo stesso tempo agli aggressori una serie di funzioni, inclusa la possibilità di creare un account amministratore.
In grado di funzionare come script autonomo e come plug-in, la porta sul retro contiene anche funzionalità di ping in modo che l’autore della minaccia possa verificare se è operativo e può attivare e disattivare altri plugin da remoto.
Secondo il team di Wordfence, lo script può creare un account con il nome utente “superadmin”, con il ruolo impostato come amministratore e con una password codificata. Contiene anche il codice per rimuovere l’account quando non è più necessario.
Inoltre, la società di sicurezza ha identificato nel codice una funzione di rilevamento dei bot, che consente al malware di fornire contenuti dannosi agli utenti, in base a filtri specifici.
“Un filo comune condiviso da questi scenari di infezione è che i proprietari dei siti ritengono che il loro sito abbia un bell’aspetto, ma i loro visitatori hanno segnalato problemi come vedere spam o essere reindirizzati a siti dubbi. Altri riferiscono che il loro sito appare e si comporta in modo del tutto normale, ma mostra contenuti spam solo quando viene visitato da un motore di ricerca”, spiega l’azienda.
Tale malware in genere fornisce contenuti dannosi ai motori di ricerca, in modo che possano essere indicizzati e indirizzare il traffico verso il sito Web infetto.
La backdoor contiene anche un hook per verificare se l’utente corrente è un amministratore ed esegue anche altri controlli per fornire loro il contenuto del sito non modificato. Se queste condizioni non vengono soddisfatte, all’utente viene invece mostrato contenuto dannoso e vengono richiamate altre funzioni per inserire spam nelle pagine.
“Il malware contiene altre funzioni di pulizia che gli consentono di rimuovere contenuti dannosi dal database oltre alla cancellazione dell’utente amministratore”, spiega Defiant.
Inoltre, la società di sicurezza ha identificato specifiche funzioni del malware che consentono agli aggressori di controllare e monetizzare da remoto i siti web delle vittime.
Imparentato: Difetto del plugin TagDiv recentemente patchato sfruttato per hackerare migliaia di siti WordPress
Imparentato: La vulnerabilità nel plug-in di migrazione di WordPress espone i siti Web agli attacchi
Imparentato: Le vulnerabilità critiche dei plugin WordPress influiscono su migliaia di siti