Dietro un plug-in di caching di WordPress dall’aspetto autentico si nasconde un malware sofisticato in grado di creare un account amministrativo per un sito Web, offrendo agli autori delle minacce un modo per dirottare completamente i siti Web infetti a piacimento.
I ricercatori di Wordfence hanno scoperto il plugin, che può eseguire una serie di attività dannose mascherandosi da legittimo software aggiuntivo per la piattaforma WordPress, hanno rivelato in un post sul blog 11 ottobre. La principale di queste attività è la possibilità di creare un account amministratore e attivare i plugin da remoto, dando sostanzialmente libero sfogo agli autori delle minacce sui siti infetti.
La backdoor può funzionare sia come script autonomo che come plug-in, con funzionalità come l’attivazione remota del plug-in e il filtro condizionale dei contenuti che gli conferiscono funzionalità di evasione difficili da rilevare per gli utenti inesperti.
Altre funzionalità includono la possibilità di aggiungere filtri per impedire che il malware venga incluso nell’elenco dei plug-in attivati, funzionalità di ping che consente a un utente malintenzionato di verificare se lo script è ancora operativo e funzionalità di modifica dei file. Inoltre, la backdoor può attivare o disattivare plugin arbitrari da remoto, il che è “utile per disabilitare plugin indesiderati e anche per attivare questo plugin dannoso secondo necessità”, ha scritto Wotschka.
“Poiché il file dannoso viene eseguito come plug-in nel contesto di WordPress, ha accesso alle normali funzionalità di WordPress proprio come fanno gli altri plug-in”, ha scritto nel post Marco Wotschka, ricercatore di vulnerabilità di Wordfence. “Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy degli utenti.”
Un analista di Wordfence ha scoperto un campione del malware durante la pulizia del sito il 18 luglio e ha creato una firma il giorno successivo, che è stata successivamente testata e rilasciata ai clienti di Wordfence il 1° settembre.
Plugin dannoso: un nemico malware nascosto ma rilevabile
I ricercatori hanno analizzato alcune delle funzionalità chiave del file plug-in dannosocomprese funzionalità che molto probabilmente destano sospetti tra gli attuali amministratori o utenti del sito.
Uno di questi consiste nell’utilizzare la funzione wp_create_user per creare un nuovo account utente con il nome utente superadmin e una password codificata per impostare un utente malintenzionato come amministratore del sito Web. Secondo Wordfence, questo account viene rimosso una volta che una vittima è stata compromessa con successo in modo da rimuovere le tracce e quindi ridurre i cambiamenti di rilevamento.
“Anche se spesso vista nel codice di prova, la creazione di utenti con password codificate dovrebbe essere considerata un campanello d’allarme, e l’elevazione di questo utente ad amministratore è certamente motivo sufficiente per sospettare”, ha scritto Wotschka.
Il plug-in dannoso include anche il codice di rilevamento dei bot, spesso presente nel malware su un sito Web che fornisce contenuti normali ad alcuni utenti reindirizzando o presentando contenuti dannosi ad altri.
“Un filo comune condiviso da questi scenari di infezione è che i proprietari dei siti ritengono che il loro sito abbia un bell’aspetto, ma i loro visitatori hanno segnalato problemi come vedere spam o essere reindirizzati a siti dubbi”, ha spiegato Wotschka.
Inoltre, poiché questo tipo di malware vuole che i motori di ricerca trovino il contenuto dannoso, di solito viene loro servito mentre indicizzano un sito, ha detto. Gli autori delle minacce utilizzano il riempimento di parole chiave per aumentare il traffico inviato ai siti infetti, con gli amministratori che spesso segnalano un aumento improvviso e inaspettato del traffico del sito quando i loro siti vengono colpiti da un’infezione.
Sebbene la sola presenza del codice di rilevamento dei bot non sia sufficiente per verificare la presenza di attività dannose su un sito Web, si distingue come attività sospetta, ha aggiunto Wotschka.
Protezione dei siti WordPress
I plugin rimangono un esposto e una superficie di attacco considerevole per WordPress e i milioni di siti basati su di esso, un problema endemico che rimane una minaccia persistente. Gli autori delle minacce hanno preso di mira i siti WordPress tramite entrambi dannoso E vulnerabile plugin, ed entrambi i problemi spesso passano inosservati agli operatori del sito fino a quando un sito web non è già stato creato sotto attacco attivo.
Nel complesso, chiunque crei siti Web utilizzando WordPress dovrebbe seguire le migliori pratiche di sicurezza nel modo in cui configura i siti per garantire che rimangano il più protetti possibile. Wordfence ha informato che tDovrebbero includere anche un qualche tipo di monitoraggio della sicurezza sul sito in caso di compromissione anche dopo aver seguito queste pratiche.