La nuova backdoor di WordPress crea amministratori non autorizzati per dirottare i siti Web

Un nuovo malware si è presentato come un legittimo plug-in di memorizzazione nella cache per prendere di mira i siti WordPress, consentendo agli autori delle minacce di creare un account amministratore e controllare l’attività del sito.

Il malware è una backdoor con una varietà di funzioni che gli consentono di gestire i plug-in e nascondersi da quelli attivi sui siti Web compromessi, sostituire contenuti o reindirizzare determinati utenti a posizioni dannose.

Dettagli del plugin falso

Gli analisti di Defiant, i creatori del Wordfence plugin di sicurezza per WordPress, ha scoperto il nuovo malware a luglio mentre puliva un sito web.

Dando un’occhiata più da vicino alla backdoor, i ricercatori hanno notato che veniva fornita “con un commento di apertura dall’aspetto professionale” mascherato da strumento di memorizzazione nella cache, che in genere aiuta a ridurre il carico del server e a migliorare i tempi di caricamento della pagina.

La decisione di imitare uno strumento del genere appare deliberata, garantendo che passi inosservato durante le ispezioni manuali. Inoltre, il plugin dannoso è impostato per autoescludersi dall’elenco dei “plugin attivi” come mezzo per eludere il controllo.

Il malware presenta le seguenti funzionalità:

• Creazione dell’utente – Una funzione crea un utente denominato “superadmin” con una password codificata e autorizzazioni a livello di amministratore, mentre una seconda funzione può rimuovere quell’utente per cancellare la traccia dell’infezione

• Rilevamento dei bot – Quando i visitatori venivano identificati come bot (ad esempio, crawler dei motori di ricerca), il malware forniva loro contenuti diversi, come spam, inducendoli a indicizzare il sito compromesso per contenuti dannosi. Pertanto, gli amministratori potrebbero riscontrare un improvviso aumento del traffico o segnalazioni di utenti che si lamentano di essere reindirizzati a posizioni dannose.
• Sostituzione dei contenuti – Il malware può alterare i post e il contenuto della pagina e inserire collegamenti o pulsanti spam. Agli amministratori del sito Web vengono forniti contenuti non modificati per ritardare la realizzazione della compromissione.
• Controllo dei plugin – Gli operatori di malware possono attivare o disattivare da remoto plugin WordPress arbitrari sul sito compromesso. Inoltre pulisce le sue tracce dal database del sito, quindi questa attività rimane nascosta.

• Invocazione remota – La backdoor verifica la presenza di stringhe di user agent specifiche, consentendo agli aggressori di attivare in remoto varie funzioni dannose.

“Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy dell’utente”, affermano i ricercatori in un articolo. rapporto.

Al momento Defiant non fornisce dettagli sul numero di siti Web compromessi dal nuovo malware e i suoi ricercatori devono ancora determinare il vettore di accesso iniziale.

I metodi tipici per compromettere un sito Web includono credenziali rubate, password forzate o sfruttamento di una vulnerabilità in un plug-in o tema esistente.

Defiant ha rilasciato una firma di rilevamento per i suoi utenti della versione gratuita di Wordfence e ha aggiunto una regola firewall per proteggere gli utenti Premium, Care e Response dalla backdoor.

Pertanto, i proprietari di siti Web dovrebbero utilizzare credenziali forti e uniche per gli account amministratore, mantenere aggiornati i propri plug-in e rimuovere componenti aggiuntivi e utenti inutilizzati.