Группа анализа угроз Wordfence обнаружила новую вредоносную кампанию, которая наглядно демонстрирует скрытые риски, связанные с использованием «nulled plugins» - взломанных премиум-плагинов, измененных третьими сторонами. Эта кампания вызывает особую озабоченность, поскольку она не просто заражает сайты: она позволяет злоумышленникам обходить существующие системы защиты и обеспечивать себе устойчивый доступ, фактически превращая разработчиков или владельцев сайтов в невольных соучастников ослабления их собственной безопасности.
Описание
Образцы вредоносного кода, связанные с этой кампанией, были предоставлены специалистам Wordfence 26 августа 2025 года. Анализ вредоносного кода начался с двух подозрительных плагинов, обнаруженных на скомпрометированном сайте клиентом Wordfence и переданных специалистам. Быстрая проверка показала, что это подозрительно устаревшие копии двух крупных премиум-плагинов, что с высокой вероятностью указывает на то, что на сайте были установлены взломанные версии, которые и стали источником первоначального проникновения.
К сожалению, многие владельцы веб-сайтов поддаются соблазну получить премиум-плагины без соответствующих затрат. Это не новая проблема; всего несколько месяцев назад Wordfence писал об опасностях поддельных версий своего собственного продукта. Однако выбор этого, казалось бы, легкого пути может привести к значительным рискам. Атакующие часто используют желание пользователей сэкономить, предлагая скидки или «бесплатные» версии платных плагинов, используя это в качестве тактики социальной инженерии, чтобы с минимальными усилиями взломать веб-сайты.
Первоначальный анализ первой разновидности плагина сразу вызвал несколько тревожных сигналов: папка плагина, его название и текстовая область были изменены и отличались от оригинальных. Однако вторая разновидность сохранила согласованные метаданные, что указывает на более продвинутую стадию разработки по сравнению с первой. Основная вредоносная нагрузка в первом плагине в основном скрыта с использованием необычного метода обфускации: злоумышленники применили комбинацию техник, включая реверс и фрагментацию строк, смешивание символьных кодов (hex, octal, html entities), а также ненужные вызовы функций и кодирования.
После расшифровки истинная цель вредоносной программы стала очевидной. Основная функция бэкдора подключена к действию WordPress init, что гарантирует ее запуск при каждой загрузке страницы. Он остается неактивным до тех пор, пока не будет активирован определенной строкой в URL-запросе. В первом варианте, после срабатывания, она отключает Wordfence путем переименования директории плагина - это грубый, но эффективный метод полной деактивации плагина на уровне файловой системы. Другая, более сложная версия этого вредоносного ПО еще больше расширяет его возможности, позволяя одновременно переименовывать до двух произвольных целевых каталогов. Это достигается путем передачи как исходных, так и целевых параметров в рамках веб-запроса.
То, что делает второй вариант особенно тревожным, - это сдвиг в методологии атакующего. В отличие от первого варианта, который использует одинаковые жестко заданные учетные данные и цели для всех заражений, этот новый подход позволяет злоумышленникам настраивать атаку для каждой цели. Принимая параметры через URL, атакующие теперь могут выбирать разные имена пользователей, пароли и имена директорий для каждого скомпрометированного сайта. Это означает, что вместо запуска широких, легко обнаруживаемых кампаний, которые одинаково затрагивают тысячи сайтов, злоумышленники теперь могут адаптировать каждое заражение под конкретную среду веб-сайта. Для защитников эта эволюция значительно усложняет обнаружение: больше не существует единственного способа обнаружить эти угрозы на множестве скомпрометированных сайтов.
После отключения Wordfence или другого решения для обеспечения безопасности вредоносное ПО обеспечивает постоянство, чтобы сохранить контроль над взломанным сайтом. Старая версия этого вредоносного ПО либо создает новую учетную запись пользователя с правами администратора, либо повышает права существующего пользователя до уровня администратора. Это гарантирует, что даже если первоначальный бэкдор будет удален, злоумышленники сохранят полный административный доступ к сайту. Более поздний вариант использует динамический подход с параметризованными данными, чтобы затруднить обнаружение поддельных администраторов. Интересно, что эта функция слабее, чем у ее предшественника: в то время как первоначальная реализация агрессивно пыталась создать или повысить права пользователя, последняя версия терпит неудачу, если пользователь или адрес электронной почты уже существуют.
После обеспечения стабильности злоумышленник может незаметно проникнуть в систему и в конечном итоге повторно активировать Wordfence, чтобы предотвратить расследование и обнаружение своего дальнейшего присутствия, стремясь к долгосрочному незаметному присутствию, а не к быстрому использованию уязвимости. Действительно, значительные усилия направлены на то, чтобы скрыть некоторые функции плагина от администраторов: цель состоит в том, чтобы Wordfence выглядел полностью функциональным и защищающим, избегая при этом изменений в самом плагине, что позволяет злоумышленнику действовать скрытно. Это достигается с помощью специальных правил CSS и кода JavaScript, которые нацелены на элементы административного интерфейса и интерфейса Wordfence, чтобы предотвратить появление вредоносного плагина на главной странице плагинов или удалить определенные параметры конфигурации Wordfence из интерфейса, а также скрыть вкладку «Игнорируемые» в сканере Wordfence, не позволяя администратору увидеть проблемы, которые вредоносное ПО, возможно, поручило сканеру игнорировать.
Это важное напоминание о том, что ни одно отдельное решение по обеспечению безопасности не может самостоятельно защитить ваш сайт WordPress на всех уровнях. Как владелец сайта, вы играете важную роль в его безопасности. Следование лучшим практикам, таким как установка только легитимных плагинов и тем непосредственно из надежных источников, помогает обеспечить безопасность вашего сайта даже от скрытых угроз. Подобное вредоносное ПО часто ускользает от обнаружения, поскольку оно намеренно встраивается в взломанное или пиратское программное обеспечение. После установки оно сразу же активируется, создавая видимость легитимности и ускользая от средств безопасности. Лучшая защита в этой ситуации — это профилактика: никогда не устанавливайте программное обеспечение WordPress из ненадежных источников.
Эта изощренная атака демонстрирует, как легко люди, стремящиеся сэкономить деньги, невольно помогают хакерам взломать свои собственные веб-сайты. Как только владелец или разработчик сайта устанавливает эти поддельные платные плагины, злоумышленники получают возможность отключать средства безопасности, использовать бэкдоры, добавлять новые учетные записи администраторов и даже повторно активировать плагины безопасности, такие как Wordfence, после их модификации для своих целей. Это дает злоумышленникам долгосрочный доступ к взломанному сайту, не вызывая подозрений, и позволяет им добавлять другой вредоносный код, соответствующий контексту: например, добавлять скиммер кредитных карт на сайт электронной коммерции или бэкдор, который крадет информацию о пользователях. Мы надеемся, что это дает владельцам сайтов четкое представление о рисках, связанных с поддельными плагинами, и позволит нам предотвратить взлом сайтов в корне.
Индикаторы компрометации
MD5
- 072f75de3c1aab1ac50c521761c3ed47
- 4468904cbe83b34eb9229fe9393b4b60
- 6b17cfa1b51c00953eaa793b7fdf417a
- 7c91265d156797c9db78c205bf59e29b
- a394460a50caeea434b33f5956e90a89
- aa83f1ccecfe51b1dcf672b041e692dc
