Вредоносный плагин wordpress-player.php компрометировал более 26 сайтов WordPress
Недавнее расследование необычных перенаправлений, с которыми столкнулись посетители ряда веб-сайтов, выявило серьезную угрозу — вредоносный плагин wordpress-player.php, внедрённый в CMS WordPress. По данным экспертов, этот плагин затронул как минимум 26 различных ресурсов, распространившись, вероятно, посредством пиратских или скомпрометированных установок.
Как работает вредоносный плагин?
Злоумышленники маскировали плагин под легитимный компонент WordPress, указав ложную атрибуцию “WordPress Core”, чтобы усложнить его обнаружение администраторами сайтов. По технической части вредоносное ПО использует функцию wp_footer, встраивая вредоносные элементы JavaScript и HTML в нижний колонтитул каждой заражённой страницы.
- Плагин не активируется для зарегистрированных пользователей — администраторов и редакторов, что затрудняет выявление заражения через обычный интерфейс.
- Видеоплеер, служащий для показа скрытого видео, создаётся с использованием специальных стилей, остаётся невидимым и располагается за пределами экрана.
- Видео запускается автоматически и без звука, что позволяет воспроизводить контент в фоне без уведомления пользователя.
- Источник видео размещён на подозрительном домене и используется для создания мошеннических показов, а не для предоставления полезного контента.
Канал управления и последствия заражения
Ключевой особенностью вредоносного плагина является встроенный компонент JavaScript, который устанавливает постоянное соединение WebSocket с удалённым C2-сервером управления. Этот канал позволяет злоумышленникам в реальном времени:
- Отправлять новые URL для перенаправления.
- Манипулировать воспроизведением скрытого видео.
- Изменять поведение заражённого веб-сайта без ведома владельца.
Такая гибкость управления создаёт существенные риски для владельцев и посетителей сайтов.
Риски для репутации и безопасности
Основной ущерб от действия плагина заключается в несанкционированных перенаправлениях посетителей на внешние, зачастую опасные ресурсы. Это приводит к следующим негативным последствиям:
- Подрыв доверия пользователей и репутации сайта.
- Снижение рейтинга в поисковых системах и возможное занесение сайта в черный список.
- Потеря пользовательской вовлеченности и ухудшение имиджа.
- Вероятность того, что перенаправленные пользователи столкнутся с фишингом, вредоносной рекламой, эксплуатацией уязвимостей или загрузкой вредоносного ПО.
Таким образом, вредоносное ПО не только разрушает техническую целостность сайтов, но и создаёт серьёзные угрозы безопасности конечных пользователей.
Рекомендации для владельцев сайтов
- Внимательно проверять происхождение и целостность устанавливаемых плагинов, избегать пиратских и непроверенных источников.
- Регулярно обновлять WordPress и все компоненты системы безопасности.
- Использовать инструменты мониторинга для оперативного обнаружения аномалий в поведении сайта.
- Проводить аудит подключений и активности WebSocket-компонентов, чтобы выявлять подозрительные коммуникации.
- Обеспечивать резервное копирование и быстрый откат в случае компрометации.
В свете выявленных фактов, крайне важно уделять внимание безопасности плагинов и контролю за целостностью веб-ресурсов, чтобы защитить как собственный бизнес, так и конечных пользователей от злоумышленников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вредоносный плагин wordpress-player.php угрожает безопасности сайтов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.