Вредоносное ПО для WordPress маскируется под легитимный плагин для защиты от вредоносного ПО

security

Команда Wordfence Threat Intelligence выявила вредоносное ПО, маскирующееся под обычный плагин WordPress с названием 'WP-antymalwary-bot.php', обладающий функциями для сохранения доступа к сайту, скрытия плагина и удаленного выполнения кода.

Описание

Плагин также содержит функцию пингования для передачи данных на C&C сервер и распространения вредоносного JavaScript для отображения рекламы.

Обнаруженное вредоносное ПО кажется обычным плагином, использующим комментарии и внешние признаки для маскировки. Данное ПО было установлено на сайте одного из аналитиков Wordfence и представляет собой пример вредоносного программирования, позволяющего злоумышленникам получить доступ к административной панели через уязвимости плагина. Помимо базовой проверки, плагин предоставляет несанкционированный доступ администратору, что повышает уровень риска и требует дополнительных мер защиты.

Анализ вредоносного ПО показывает возможность доступа к администраторской панели через функцию emergency_login_all_admins, возникшую при обработке GET-параметров. Плагин предоставляет немедленный доступ и запрашивает ввод правильного пароля, действуя через хук init.

Индикаторы компрометации

IPv4

  • 45.61.136.85
Комментарии: 0