Неизвестный злоумышленник внедрил бэкдор в исходный код плагина для WordPress, который маскируется под средство защиты от спама X-WP-SPAM-SHIELD-PRO.
Вероятно, злоумышленник пытался использовать репутацию популярного инструмента для защиты от спама WordPress WP-SpamShield Anti-Spam. Поддельный плагин содержит бэкдор, позволяющий хакеру создать собственную учетную запись администратора на атакованном сайте, загрузить файлы на серверы жертвы, отключить все плагины и так далее.
Вредоносное действие распространяется на все файлы поддельного плагина. В частности, файл class-social-facebook.php маскируется под средство защиты от спама в социальных сетях и отправляет злоумышленнику список плагинов пользователя и при необходимости отключает их. В рамках отключения всех плагинов преступник преследовал цель деактивации плагинов, блокирующих доступ к функциям авторизации или детектирующих попытки неавторизованного входа.
Сама схема работы злоумышленника заключается следующем. Файлы class-term-metabox-formatter.php и class-admin-user-profile.php отправляют преступнику данные о версии WordPress и список всех пользователей с правами администратора. Plugin-header.php добавляет учетную запись с правами администратора под именем mw01main. Файл wp-spam-shield-pro.php связывается с сервером преступника, расположенном на mainwall.org, осведомляя его об установке вредоносного плагина новым пользователем. Информация, отправляемая файлом содержит: учетные данные, URL-адрес зараженного сайта и IP-адрес сервера. Wp-spam-shield-pro.php также содержит вредоносный код, позволяющий злоумышленнику загрузить на сайт жертвы ZIP-архив, распаковать его и исполнить хранящиеся внутри файлы.
По словам исследователей безопасности из компании Sucuri, для распространения фальшивки злоумышленник использовал скомпрометированную версию известного пакета плагинов для WordPress All In One SEO Pack. При этом он не публиковал плагин в официальном репозитории WordPress, распространяя его через другие источники.
В последнее время подобная ситуация для данной CMS – не редкость. Еще совсем недавно для внедрения бэкдора на сайты WordPress использовался плагин Display Widgets.
Источник: securitylab.ru
