Egy új rosszindulatú program lehetővé teszi a beépülő modulok kezelését és elrejtését a feltört WordPress webhelyeken. Egy támadó ezáltal tartalmat cserélhet, felhasználókat irányíthat át káros oldalakra, valamint lehetővé teheti rendszergazdai jogosultságú fiók létrehozását.
A WordPress webhelyek megcélzására létrehozott kártevő legitim gyorsítótár bővítményként jelenik meg, ami általában segít csökkenteni a szerver terhelést, és javítani az oldal betöltési idejét. A rosszindulatú bővítmény úgy van beállítva, hogy kizárja magát az „aktív beépülő modulok” listájáról, így elkerülve a vizsgálatot, és a manuális ellenőrzések során is észrevétlen marad.
A rosszindulatú program a következő képességekkel rendelkezik:
- Felhasználó létrehozása – Létrehoz egy „superadmin” nevű felhasználót beégetett (hard-code-olt) jelszóval és adminisztrátori szintű jogosultságokkal, valamint törli a fertőzés nyomait.
- Bot-észlelés – Ha a látogatót botként azonosította (például search engine botként), a rosszindulatú program különböző tartalmakat, például spamet szolgáltat neki, aminek következtében a feltört webhelyet rosszindulatú tartalomként indexeli. Ennek megfelelően az adminisztrátorok a forgalom hirtelen növekedését tapasztalhatják, vagy olyan bejelentéseket kaphatnak a felhasználóktól, akik arról panaszkodnak, hogy rosszindulatú helyekre irányították át őket.
- Tartalomcsere – A rosszindulatú program módosíthatja a bejegyzéseket és az oldalak tartalmát, valamint spam hivatkozásokat vagy gombokat szúrhat be. A webhely adminisztrátorai változatlan tartalmat kapnak az észlelés késleltetése érdekében.
- Beépülő modulok felügyelete – A rosszindulatú programok üzemeltetői távolról aktiválhatják vagy deaktiválhatják tetszőleges WordPress beépülő modulokat a feltört webhelyen. Emellett törlik a nyomaikat az oldal adatbázisából, így ez a tevékenység rejtve marad.
- Távoli hívás – A backdoor bizonyos user agent karakterláncokat keres, lehetővé téve a támadók számára, hogy távolról aktiváljanak különféle rosszindulatú funkciókat.
A webhelyek feltörésének módjai közé tartozik a hitelesítő adatok ellopása, a jelszavak brute-force-olása és a meglévő bővítmény vagy téma biztonsági réseinek kihasználása.
A WordPress weboldal tulajdonosok számára javasolt az erős és egyedi hitelesítési adatok használata a rendszergazdai fiókokhoz, bővítményeik naprakészen tartása, és a nem használt bővítmények és felhasználók eltávolítása.
