Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Valse WordPress plug-in wordt geleverd met cryptogeld Mijn Bouw Functie

Cybercrime Envicom todayoktober 21, 2019 9

Background
share close

Schadelijke plug-ins voor WordPress websites worden niet alleen gebruikt om de toegang op de gecompromitteerde server te behouden, maar ook om cryptogeld te mijnen.

Onderzoekers van website beveiligingsbedrijf Sucuri zagen het aantal kwaadaardige plug-ins de afgelopen maanden toenemen. De componenten zijn klonen van wettige software en gewijzigd voor snode doeleinden.

Normaal gesproken worden deze valse plug-ins gebruikt om aanvallers toegang tot de server te geven, zelfs nadat de infectie vector is verwijderd. Maar ze kunnen ook code voor andere doeleinden bevatten, zoals het coderen van inhoud op een blog.

Dubbele afdekking

Een van de plug-ins waarvan Sucuri heeft ontdekt dat deze een dubbel doel heeft, is een kloon van ‘wpframework’. Het werd gevonden in september en aanvallers gebruikten het om “ongeautoriseerde toegang tot de site omgeving te verkrijgen en te behouden”, zeggen de onderzoekers.

Het is onduidelijk welke plug-in het imiteert, maar er bestaat er een met deze naam in de openbare WordPress bewaarplaats, maar de ontwikkeling ervan lijkt te zijn gestopt in 2011. Toch heeft het nog steeds meer dan 400 actieve installaties.

Behalve het scannen op functies die opdrachtuitvoering op serverniveau potentieel maken en dit privilege beperken tot de botmaster, droeg de plug-in ook code om een ​​Linux Binair bestand te draaien dat mijnen voor cryptogeld.

Toen de onderzoekers het domein waarnaar werd verwezen het binaire bestand controleerde, was het niet langer actief. De Backdoor Functionaliteit van de component was echter nog steeds aanwezig.

De “Mijn Bouw Component” werd op 18 september toegevoegd aan het Virus Total antivirus scanplatform en wordt nu gedetecteerd door 25 van de 56 motoren.

Schadelijke plug-ins maken

Maar toch Sucuri geen details geeft over de reden voor de toegenomen frequentie van kwaadaardige plug-ins en is het vermeldenswaard dat het maken van hen verre van een inspanning is.

In plaats van vanaf het begin een kwaadaardige WordPress plug-in te maken en kunnen aanvallers de code van een bestaande wijzigen om schadelijke componenten op te nemen.

Bovendien bestaan ​​er geautomatiseerde hulpmiddelen die een plug-in kunnen maken met een door de aanvaller opgegeven naam en deze kunnen koppelen met een willekeurige nuttige lading, zoals een omgekeerde shell.

Bovendien biedt het web de nodige tutorial voor laaggeschoolde aanvallers om te leren hoe ze deze Nep Website Componenten kunnen maken.

Sucuri adviseert webmasters om ook de aanvullende Site Componenten te controleren bij het opruimen van malware, omdat deze werkwijze dikwijls beperkt is tot WordPress Kernbestanden. Thema’s en plug-ins worden regelmatig gemigreerd zonder voorafgaande controle. Op deze manier behouden aanvallers hun grip op de nieuwe site via de achterdeur die is geplant in extensies van derden.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *