Специалисты компании Defiant (бывшая WordFence) опубликовали детальный отчет о малвари BabaYaga, которая атакует сайты под управлением WordPress. Вредонос не только удаляет с зараженных ресурсов конкурирующую малварь, но и устанавливает на сайты жертв обновления.
В своем отчете исследователи рассказывают, что вредонос «Баба Яга», по всей видимости созданный русскоговорящими преступниками, появился не недавно, просто ранее он ничем не выделялся и не представлял большой опасности, однако все изменилось после последних обновлений.
В настоящее время BabaYaga использует зараженные WordPress-сайты для внедрения на их страницы SEO-трафика и перенаправления посетителей на различные торговые площадки, которые платят за это операторам малвари. Так, если переадресованный пользователь совершает на таком сайте покупку, злоумышленники получают прибыль.
Малварь включает в себя два основных модуля. Первый используется для инжектов спамерского контента на страницы зараженных сайтов. Второй модуль представляет собой бэкдор, при помощи которого злоумышленники могут получить полный контроль и доступ к скомпрометированному ресурсу в любое время. Исследователи отмечают, что вредонос написан весьма умело и его разработчики определенно не новички. С технической точки зрения BabaYaga может использоваться и для атак на сайты под управлением Joomla, Drupal и даже на PHP-ресурсы, однако пока полностью концентрируется на WordPress.
От другой малвари такого рода «Бабу Ягу» отличают две особенности. Во-первых, вредонос может удалять с зараженных сайтов конкурирующие угрозы. Во-вторых, он способен устанавливать обновления и даже осуществить полную переустановку WordPress на сайте жертвы. Специалисты Defiant объясняют, что эти функции тесно связаны с функциональностью внедрения спама. Авторам BabaYaga важно, чтобы сайт работал без багов, сбоев и был обновлен до последних версий:
«Так как основная функциональность BabaYaga выполняется наряду с загрузкой страниц WordPress, [малвари] нужно, чтобы приложение работало корректно. Если в WordPress что-то сломается, вредоносный скрипт не сможет выполниться, когда страницу кто-либо посетит».
При этом специалисты подчеркивают, что механизм обновлений – не просто бесполезная функция, добавленная в код случайно. BabaYaga сполна пользуется своими возможностями, операторы вредоноса внимательно следят за своими кампаниями, а малварь даже тщательно создает резервные копии, на случай если обновление не удастся (если все прошло как нужно, бэкапы удаляются).
По тем же причинам BabaYaga избавляется от конкурентов. Для работы вредоносу нужен чистый, корректно работающий сайт, тогда как малварь конкурентов может быть написана плохо, что будет провоцировать сбои и мешать функционированию BabaYaga. К тому же многочисленные сбои и ошибки могут привлечь нежелательное для злоумышленников внимание администратора сайта, который в конечном итоге обнаружит на своем ресурсе заражение.