Schadelijke plug-ins voor WordPress websites worden niet alleen gebruikt om de toegang op de gecompromitteerde server te behouden, maar ook om cryptogeld te mijnen.
Onderzoekers van website beveiligingsbedrijf Sucuri zagen het aantal kwaadaardige plug-ins de afgelopen maanden toenemen. De componenten zijn klonen van wettige software en gewijzigd voor snode doeleinden.
Normaal gesproken worden deze valse plug-ins gebruikt om aanvallers toegang tot de server te geven, zelfs nadat de infectie vector is verwijderd. Maar ze kunnen ook code voor andere doeleinden bevatten, zoals het coderen van inhoud op een blog.
Dubbele afdekking
Een van de plug-ins waarvan Sucuri heeft ontdekt dat deze een dubbel doel heeft, is een kloon van ‘wpframework’. Het werd gevonden in september en aanvallers gebruikten het om “ongeautoriseerde toegang tot de site omgeving te verkrijgen en te behouden”, zeggen de onderzoekers.
Het is onduidelijk welke plug-in het imiteert, maar er bestaat er een met deze naam in de openbare WordPress bewaarplaats, maar de ontwikkeling ervan lijkt te zijn gestopt in 2011. Toch heeft het nog steeds meer dan 400 actieve installaties.
Behalve het scannen op functies die opdrachtuitvoering op serverniveau potentieel maken en dit privilege beperken tot de botmaster, droeg de plug-in ook code om een Linux Binair bestand te draaien dat mijnen voor cryptogeld.
Toen de onderzoekers het domein waarnaar werd verwezen het binaire bestand controleerde, was het niet langer actief. De Backdoor Functionaliteit van de component was echter nog steeds aanwezig.
De “Mijn Bouw Component” werd op 18 september toegevoegd aan het Virus Total antivirus scanplatform en wordt nu gedetecteerd door 25 van de 56 motoren.
Schadelijke plug-ins maken
Maar toch Sucuri geen details geeft over de reden voor de toegenomen frequentie van kwaadaardige plug-ins en is het vermeldenswaard dat het maken van hen verre van een inspanning is.
In plaats van vanaf het begin een kwaadaardige WordPress plug-in te maken en kunnen aanvallers de code van een bestaande wijzigen om schadelijke componenten op te nemen.
Bovendien bestaan er geautomatiseerde hulpmiddelen die een plug-in kunnen maken met een door de aanvaller opgegeven naam en deze kunnen koppelen met een willekeurige nuttige lading, zoals een omgekeerde shell.
Bovendien biedt het web de nodige tutorial voor laaggeschoolde aanvallers om te leren hoe ze deze Nep Website Componenten kunnen maken.
Sucuri adviseert webmasters om ook de aanvullende Site Componenten te controleren bij het opruimen van malware, omdat deze werkwijze dikwijls beperkt is tot WordPress Kernbestanden. Thema’s en plug-ins worden regelmatig gemigreerd zonder voorafgaande controle. Op deze manier behouden aanvallers hun grip op de nieuwe site via de achterdeur die is geplant in extensies van derden.
Post comments (0)