Обнаружен новый вредоносный плагин для WordPress, маскирующийся под WooCommerce
Команда Wordfence, специализирующаяся на анализе угроз в экосистеме WordPress, выявила новый вариант вредоносного ПО, целенаправленно ориентированного на популярную CMS. Этот зловред искусно маскируется под легитимный плагин и размещается в каталоге /wp-content/plugins/. Особенностью данной угрозы является использование обманчивого комментария в заголовке, который имитирует плагин WooCommerce Product Add-ons. Благодаря этому злоумышленники пытаются скрыть истинную природу вредоносного кода и придать ему достоверный внешний вид.
Технические особенности вредоносного ПО
Несмотря на схожесть в имени и структуре, вредоносная программа не имеет никакого отношения к реальному плагину WooCommerce. В ходе расследования было выявлено, что зловред обладает рядом опасных функций:
- Извлечение паролей пользователей;
- Удалённое выполнение кода через AJAX-запросы;
- Использование функции отражения (reflection) для исполнения команд, что усложняет обнаружение и анализ;
- Проверка среды запуска — вредоносный код выполняет проверку ABSPATH и использует wp_get_current_user(), чтобы удостовериться, что находится в среде WordPress;
- Блокировка прямого доступа к плагину через привычные страницы администратора;
- Вызов системной команды посредством POST-запросов, позволяющий запускать несанкционированные операции;
- Наличие неполной функции, что свидетельствует о продолжающейся разработке и эволюции вредоносного ПО.
Распространение и вероятные способы проникновения
В процессе анализа был обнаружен второй образец вредоносного кода, использующий схожие методы обхода систем защиты, но обладающий меньшей функциональностью. По мнению экспертов, основной путь распространения вредоносного ПО связан со взломом административных учётных записей, так как для запуска вредоносного кода необходимо активировать плагин. Это свидетельствует о том, что злоумышленники рассчитывают на использование стандартных WordPress hooks (перехватчиков) для реализации атаки.
К сожалению, отсутствие логов во время расследования значительно затруднило точное определение конкретных техник проникновения злоумышленников.
Меры защиты от угрозы
В ответ на обнаружение угрозы команда Wordfence оперативно разработала сигнатуры для её обнаружения и внедрила их в свои продукты:
- Подписчикам премиум-версии сигнатуры стали доступны сразу после выявления;
- Для бесплатных пользователей выпуск был запланирован на месяц позже;
- Кроме того, было введено отдельное правило брандмауэра, направленное на улучшение защиты пользователей премиум-класса.
Эксперты подчёркивают, что подобные угрозы продолжают эволюционировать, поэтому необходимо поддерживать актуальность защитных мер и проявлять постоянную бдительность при эксплуатации CMS WordPress.
«Данный случай подчёркивает важность своевременного обновления систем безопасности и внимательного мониторинга необычного поведения плагинов, даже если они кажутся легитимными», — комментируют специалисты Wordfence.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новый тип вредоносного ПО для WordPress: маскировка под плагин".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.