Вредоносный плагин «wp-runtime-cache»: новая угроза для сайтов на WordPress
Недавние инциденты в сфере кибербезопасности выявили опасную тенденцию: злоумышленники все активнее эксплуатируют сайты на платформе WordPress, загружая вредоносные плагины. Среди таких угроз выделяется плагин wp-runtime-cache, который маскируется под инструмент кэширования и оптимизации производительности, но фактически используется для кражи учетных данных администраторов.
Механизмы заражения и особенности плагина
Плагин wp-runtime-cache размещается в каталоге wp-content/plugins и поначалу выглядит безобидно за счет заявленной функции кэширования. Однако его поведение вызывает подозрения:
- Отсутствие стандартных опций управления кэшированием;
- Плагин не отображается в списке плагинов панели администратора;
- Содержит только один PHP-файл, в отличие от легальных плагинов, которые обычно включают несколько файлов.
Кроме того, поля описания плагина, автора и URL службы поддержки остаются пустыми. Исследование кода выявило использование запутанных техник, включая кодировку base64 и случайные имена переменных, что традиционно характерно для вредоносного ПО.
Вредоносный функционал и сбор данных
Особое опасение вызывает функция infiltrateDocumentStore0460, чье название указывает на намерение тайно проникнуть в системный контент — действие, отсутствующее в легитимных плагинах. При загрузке страниц плагин активируется, особенно в сессиях входа через аккаунт администратора WordPress. С его помощью злоумышленники:
- Собирают регистрационные данные пользователя;
- Оценивают уровень доступа пользователя на основе ролей;
- Используют встроенную функцию wp_remote_post для отправки полученной информации на внешние серверы.
Дополнительную скрытность обеспечивает функция detachConcurrency0788, которая проверяет наличие ранее сгенерированного хэш-значения, позволяющего отличать легитимных пользователей от злоумышленников. Если пользователь не признан легальным, плагин становится видимым; в противном случае он скрывается из интерфейса администратора.
Тактика злоумышленников и анализ домена
При анализе домена, связанного с вредоносной активностью, обнаружены несоответствия в регистрационных данных: домен зарегистрирован в штате Арканзас, США, но привязан к телефону с кодом Гонконга. Это указывает на намеренное использование методов для усложнения процесса обнаружения и отслеживания злоумышленников.
Рекомендации по защите и предотвращению атак
Полученные данные выявляют уязвимости, возникающие при получении внешними злоумышленниками полного доступа к сайту. Вредоносные плагины способны тайно собирать учетные данные и передавать их на сторонние ресурсы. В связи с этим эксперты настоятельно рекомендуют:
- Проводить регулярные проверки всех установленных плагинов и списка пользователей;
- Обеспечивать использование сложных и регулярно обновляемых паролей для администраторов;
- Внедрять двухфакторную аутентификацию (2FA) для доступа к панели управления;
- Настраивать ограничения по IP-адресам для страницы входа в WordPress;
- В случае компрометации — обновлять настройки в файле wp-config.php для предотвращения повторного доступа с использованием прежних хэшей паролей.
Эти меры являются критически важными для повышения надежности защиты WordPress-сайтов и минимизации рисков, связанных с появлением новых уязвимостей и расширением возможностей злоумышленников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Опасные плагины WordPress: выявление и противодействие скрытым угрозам".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.