Бэкдор прикидывается обычным плагином для WordPress
Аналитики компании
Defiant, стоящей за разработкой защитного плагина
Wordfence для WordPress, обнаружили новое вредоносное ПО, которое выдает себя обычный плагин для кеширования. На самом деле
малварь представляет собой многофункциональный бэкдор, которые может управлять другими плагинами, скрываться об обнаружения на
взломанных сайтах, подменять контент и перенаправлять пользователей на
вредоносные ресурсы.
Исследователи пишут, что бэкдор
«профессионально» замаскирован под инструмент кеширования, который должен помогать снизить нагрузку на сервер и сократить время загрузки страниц. При этом плагин настроен таким образом, чтобы исключить себя из списка активных плагинов и избегать
возможных проверок.
Создание нового пользователя. Создает пользователя с именем
«superadmin» с жестко заданным паролем и правами уровня администратора, а вторая функция может удалить этого пользователя, чтобы стереть
следы заражения.
Обнаружение ботов. Когда посетители сайта оказываются ботами (например,
краулеры поисковых систем),
малварь показывает им другой контент, например спам, заставляя их индексировать вредоносный контент на взломанном сайте. Таким образом, администраторы могут заметить внезапное увеличение трафика или жалобы пользователей, которые обнаружат перенаправления на вредоносные ресурсы.
