Аналитики компании Defiant, стоящей за разработкой защитного плагина Wordfence для WordPress, обнаружили новое вредоносное ПО, которое выдает себя обычный плагин для кеширования. На самом деле малварь представляет собой многофункциональный бэкдор, которые может управлять другими плагинами, скрываться об обнаружения на взломанных сайтах, подменять контент и перенаправлять пользователей на вредоносные ресурсы.
Исследователи пишут, что бэкдор «профессионально» замаскирован под инструмент кеширования, который должен помогать снизить нагрузку на сервер и сократить время загрузки страниц. При этом плагин настроен таким образом, чтобы исключить себя из списка активных плагинов и избегать возможных проверок.
По словам специалистов Defiant, малварь обладает следующими возможностями.
Создание нового пользователя. Создает пользователя с именем «superadmin» с жестко заданным паролем и правами уровня администратора, а вторая функция может удалить этого пользователя, чтобы стереть следы заражения.
Обнаружение ботов. Когда посетители сайта оказываются ботами (например, краулеры поисковых систем), малварь показывает им другой контент, например спам, заставляя их индексировать вредоносный контент на взломанном сайте. Таким образом, администраторы могут заметить внезапное увеличение трафика или жалобы пользователей, которые обнаружат перенаправления на вредоносные ресурсы.
Подмена контента. Малварь может изменять посты и содержимое страниц, а также внедрять на сайт спам-ссылки и кнопки. При этом администратору сайта показывается немодифицированный контент, чтобы избежать обнаружения.
Контроль над плагинами. Операторы бэкдора могут удаленно активировать или деактивировать произвольные WordPress-плагины на скомпрометированном сайте, а также удалять следы этой активности из БД сайта, чтобы эта деятельность оставалась скрытой.
Удаленный вызов. Бэкдор проверяет наличие определенных строк user agent, что позволяет злоумышленникам удаленно активировать различные вредоносные функции.
«В совокупности эти функции предоставляют злоумышленникам все необходимое для удаленного контроля и монетизации сайта-жертвы за счет SEO-рейтинга сайта и конфиденциальности его пользователей», — пишут эксперты.
Defiant не сообщает, сколько сайтов уже пострадало от этого плагина, и также отмечает, что вектор первоначального доступа к ресурсам пока неизвестен.
Defiant уже добавила сигнатуру обнаружения бэкдора в бесплатную версию Wordfence, а также создала правило брандмауэра для защиты пользователей версий Premium, Care и Response.
