Un nuovo malware si è spacciato per un plugin di caching legittimo per colpire i siti WordPress, consentendo agli attori delle minacce di creare un account amministratore e controllare l’attività del sito.
Il malware è una backdoor con una serie di funzioni che gli consentono di gestire i plugin e di nascondersi da quelli attivi sui siti web compromessi, di sostituire i contenuti o di reindirizzare alcuni utenti verso posizioni dannose.
Gli analisti di Defiant, i produttori del plugin di sicurezza Wordfence per WordPress, hanno scoperto il nuovo malware a luglio durante la pulizia di un sito web.
Osservando più da vicino la backdoor, i ricercatori hanno notato che si presentava “con un commento di apertura dall’aspetto professionale” per camuffarsi da strumento di caching, che di solito aiuta a ridurre la pressione sui server e a migliorare i tempi di caricamento delle pagine.
La decisione di imitare tale strumento sembra deliberata, per garantire che passi inosservato durante le ispezioni manuali. Inoltre, il plugin dannoso è impostato per escludersi dall’elenco dei “plugin attivi” come mezzo per eludere i controlli.
Il malware presenta le seguenti funzionalità:
- Creazione di un utente – Una funzione crea un utente chiamato “superadmin” con una password codificata e permessi di amministrazione, mentre una seconda funzione può rimuovere l’utente per cancellare le tracce dell’infezione.
- Creazione di un utente amministratore disonesto nel sito
- Rilevamento dei bot – Quando i visitatori venivano identificati come bot (ad esempio i crawler dei motori di ricerca), il malware serviva loro contenuti diversi, come lo spam, inducendoli a indicizzare il sito compromesso alla ricerca di contenuti dannosi. In questo modo, gli amministratori potrebbero assistere a un improvviso aumento del traffico o a segnalazioni di utenti che si lamentano di essere stati reindirizzati verso posizioni dannose.
- Sostituzione dei contenuti – Il malware può alterare i contenuti dei post e delle pagine e inserire link o pulsanti di spam. Gli amministratori dei siti web ricevono contenuti non modificati per ritardare la realizzazione della compromissione.
- Controllo dei plugin – Gli operatori del malware possono attivare o disattivare da remoto plugin WordPress arbitrari sul sito compromesso. Inoltre, pulisce le sue tracce dal database del sito, in modo che questa attività rimanga nascosta.
- Controllo dell’attivazione/disattivazione dei plugin
- Invocazione remota – La backdoor controlla stringhe specifiche dell’agente utente, consentendo agli aggressori di attivare in remoto varie funzioni dannose.
“Prese insieme, queste caratteristiche forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a spese delle classifiche SEO del sito stesso e della privacy degli utenti”, affermano i ricercatori in un rapporto.
Al momento, Defiant non fornisce alcun dettaglio sul numero di siti web compromessi con il nuovo malware e i suoi ricercatori devono ancora determinare il vettore di accesso iniziale.
I metodi tipici per compromettere un sito web includono il furto di credenziali, il brute-forcing delle password o lo sfruttamento di una vulnerabilità in un plugin o in un tema esistente.
Defiant ha rilasciato una firma di rilevamento per gli utenti della versione gratuita di Wordfence e ha aggiunto una regola del firewall per proteggere gli utenti Premium, Care e Response dalla backdoor.
Pertanto, i proprietari di siti web dovrebbero utilizzare credenziali forti e uniche per gli account di amministrazione, mantenere i plugin aggiornati e rimuovere i componenti aggiuntivi e gli utenti inutilizzati.ss crea un amministratore malvagio per dirottare i siti web