Поделиться
Плагин к WordPress, выдающий себя за инструмент безопасности, устанавливает в систему бэкдор
Вредоносный плагин, как считают обнаружившие его исследователи, создавался с помощью искусственного интеллекта.
Тихой ИИ-сапой
Исследователи компании Wordfence выявили плагин к популярной системе управления контентом WordPress, который выдает себя за средство защиты от киберугроз, а на самом деле является бэкдором.
Вредонос обеспечивает его операторам постоянный доступ к CMS, возможность запускать произвольный код или производить инъекцию кода на JavaScript. В панели управления WordPress плагин не отображается, и выявить его может быть весьма сложно.
Специалисты Wordfence обнаружили его на своем сайте в конце января 2025 г.: в ходе профилактических работ им попался модифицированный файл wp-cron.php, который создавал и автоматически запускал плагин WP-antimalwary-bot.php.
Обращает на себя внимание тот факт, что комментарии в плагине написаны на русском языке. По мнению исследователей Wordfence, вредоносный код был сгенерирован с помощью ИИ.\
Исследователям также удалось установить, что тот же плагин распространяется под другими - невинно выглядящими - названиями: addons.php, wpconsole.php, wp-performance-booster.php или scr.php.
Если такой плагин удаляется, wp-cron.php заново создает и запускает его.
Серверных логов в распоряжении исследователей не было, поэтому точно установить схему заражения они не смогли. По их предположению, взлом был осуществлен через компрометацию аккаунта на хостинге или с использованием реквизитов FTP.
Кто мог стоять за атакой, остается неясным. Однако исследователи смогли отследить контрольный сервер и выяснить, что он физически располагается на Кипре.
Кроме того, некоторые особенности атаки вызвали у исследователей ассоциации с атакой на сайты под управлением WordPress, обнаруженной в июне 2024 г. - когда злоумышленники внедрили вредоносные компоненты в код как минимум пяти популярных плагинов.
«WordPress - крайне популярная система управления контентом, и она становится объектом атак регулярно, - в основном именно за счет плагинов», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «И хотя базовая конфигурация иногда требует расширения для коммерческих нужд, безопаснее всего устанавливать по возможности минимальное количество плагинов, предварительно проверяя их всеми доступными способами».
«Рекламный агент»
После активации на сервере плагин производит проверку своего состояния, после чего предоставляет оператору административный доступ через функцию emergency_login_all_admins, предусмотренную на экстренные случаи.
«Если вводится корректный нешифрованный пароль, функция извлекает из базы данных все записи администраторов, выбирает первую и регистрирует атакующего с административными реквизитами», - говорится в исследовании.
Затем плагин регистрирует неаутентифицированный маршрут REST API, который позволяет внедрять произвольный код PHP во все активные файлы header.php, относящиеся к текущей теме (схеме визуальных настроек) WordPress, а также производить очистку кэша плагинов и задействовать другие команды.
Свежая версия вредоноса позволяет также внедрять JavaScript в секцию сайта <head>, - вероятнее всего для вывода рекламы, спама или перенаправления пользователей на небезопасные ресурсы.
Эксперты рекомендуют проверить присутствие не только плагинов с вышеперечисленными наименованиями, но также и изучить содержимое wp-cron.php и header.php на предмет неожиданных изменений.
Логи доступа с инструкциями emergency_login, check_plugin, urlchange и key также являются признаком атаки.
Короткая ссылка
