O plugin falso do WordPress vem com a função de mineração de criptomoedas

Plugins maliciosos para sites do WordPress estão sendo usados ​​não apenas para manter o acesso no servidor comprometido, mas também para minerar criptomoedas.

Pesquisadores da empresa de segurança do site Sucuri notaram um aumento no número de plugins malicioso nos últimos meses. Os componentes são clones de software legítimo, alterados para fins nefastos.

Normalmente, esses plugins falsos são usados ​​para permitir que os atacantes acessem o servidor, mesmo após a remoção do vetor de infecção. Mas eles também podem incluir código para outros fins, como criptografar conteúdo em um blog.

Cobertura dupla

Um dos plugins descobertos pela Sucuri com um duplo objetivo é um clone de “wpframework”. Foi encontrado em setembro e os atacantes o usaram para “obter e manter acesso não autorizado ao ambiente do site”, dizem os pesquisadores .

Não está claro qual plugin ele representa, mas existe um com esse nome no repositório público do WordPress, mas seu desenvolvimento parece ter parado em 2011. Apesar disso, ele ainda possui mais de 400 instalações ativas.

Além de procurar funções que permitam a execução de comandos no nível do servidor e restringir esse privilégio ao botmaster, o plug-in também carregava código para executar um binário Linux que explora a criptomoeda.

Quando os pesquisadores verificaram o domínio referenciado que hospedava o binário, ele não estava mais ativo. No entanto, a funcionalidade de backdoor do componente ainda estava presente.

O componente de mineração foi adicionado à plataforma de verificação antivírus do Virus Total em 18 de setembro e atualmente é detectado por 25 dos 56 mecanismos.

Gerando plug-ins maliciosos

Embora a Sucuri não forneça detalhes sobre o motivo do aumento da frequência de plug-ins maliciosos, é importante notar que a criação deles está longe de ser um esforço.

Em vez de criar um plugin malicioso do WordPress a partir do zero, os invasores podem modificar o código de um existente para incluir componentes maliciosos.

Além disso, existem ferramentas automatizadas que podem gerar um plug-in com um nome fornecido pelo atacante e vinculá-lo a uma carga útil arbitrária, como um shell reverso.

Além disso, a web oferece o tutorial necessário para invasores pouco qualificados aprenderem como criar esses componentes falsos de sites.

A Sucuri aconselha os webmasters a também verificar os componentes adicionais do site ao fazer uma limpeza de malware, pois muitas vezes esse procedimento é limitado aos arquivos principais do WordPress. Temas e plug-ins geralmente são migrados sem nenhum exame prévio. Dessa forma, os invasores mantêm o controle sobre o novo site pela porta traseira plantada em extensões de terceiros.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.