Um malware, capaz de criar uma conta de administração para um site, está escondido atrás de um plug-in de cache do WordPress com aparência autêntica, proporcionando aos agentes de ameaça uma maneira de sequestrar completamente os sites infectados à vontade.
Pesquisadores da Wordfence descobriram o plug-in, que pode executar uma variedade de tarefas maliciosas enquanto se disfarça como software complementar legítimo para a plataforma WordPress, revelaram em uma postagem no blog em 11 de outubro. Ele cria uma conta de administrador e ativa plug-ins remotamente, basicamente dando aos agentes de ameaça rédea solta sobre os sites infectados.
O backdoor pode funcionar tanto como um script independente quanto como um plug-in, com recursos como ativação remota de plug-in e filtragem de conteúdo condicional, que fornecem recursos de evasão difíceis de serem detectados por usuários inexperientes.
Outros recursos incluem a capacidade de adicionar filtros para evitar que o malware seja incluído na lista de plug-ins ativados, funcionalidade de ping que permite que um agente mal-intencionado verifique se o script ainda está operacional e recursos de modificação de arquivos. Além disso, o backdoor pode ativar ou desativar plug-ins arbitrariamente remotamente, o que é útil para desabilitar plug-ins indesejados e também para ativar esse plug-in malicioso conforme necessário”, escreveu Wotschka.
“Como o arquivo malicioso é executado como um plug-in no contexto do WordPress, ele tem acesso à funcionalidade normal do WordPress, assim como outros plug-ins”, escreveu Marco Wotschka, pesquisador de vulnerabilidades do Wordfence, no post. “Juntos, esses recursos fornecem aos invasores tudo o que precisam para controlar e monetizar remotamente o site da vítima, às custas das classificações de SEO do próprio site e da privacidade do usuário”.
Um analista do Wordfence descobriu uma amostra do malware durante uma limpeza de site em 18 de julho e criou uma assinatura no dia seguinte, que foi posteriormente testada e liberada para clientes do Wordfence em 1º de setembro.
Plug-in malicioso: um malware oculto, porém detectável
Os pesquisadores analisaram algumas das principais funcionalidades do plug-in malicioso, incluindo recursos que têm maior probabilidade de levantar suspeitas entre os atuais administradores ou usuários do site.
Uma delas é usar a função wp_create_user para criar uma nova conta de usuário com o nome de usuário superadmin e uma senha codificada para configurar um invasor como administrador do site. Esta conta é removida assim que a vítima é comprometida com sucesso, como forma de remover rastros e, assim, reduzir as chances de detecção, de acordo com o Wordfence.
“Embora frequentemente visto em código de teste, a criação de usuários com senhas codificadas deve ser considerada um sinal de alerta, e a elevação desse usuário a administrador é certamente motivo suficiente para suspeita”, escreveu Wotschka.
O plug-in malicioso também inclui código de detecção de bot, que geralmente está presente em malware em um site que fornece conteúdo normal para alguns usuários enquanto redireciona ou apresenta conteúdo malicioso para outros.
“Um traço comum compartilhado por esses cenários de infecção é que os proprietários de sites acham que seus sites parecem bons para eles, mas seus visitantes relataram problemas como ver spam ou serem redirecionados para sites duvidosos”, explicou Wotschka.
Além disso, como esse tipo de malware deseja que os mecanismos de busca encontrem o conteúdo malicioso, ele geralmente é fornecido a eles quando indexam um site, disse ele. Os agentes de ameaça usam o preenchimento de palavras-chave para ajudar a aumentar o tráfego enviado a sites infectados, e os administradores geralmente relatam um aumento repentino e inesperado no tráfego do site quando seus sites são atingidos por uma infecção.
Embora a presença do código de detecção de bot por si só não seja suficiente para verificar a presença de atividade maliciosa em um site, ela se destaca como atividade suspeita, acrescentou Wotschka.
Para saber mais, clique aqui.
