Um agente de ameaça implantou um backdoor WordPress que pode ocultar sua presença se passando por um plugin legítimo, relata a empresa de segurança WordPress Defiant.
Identificado durante a limpeza de um site comprometido, o backdoor foi projetado para rodar no contexto do WordPress, tendo assim acesso a todas as funções que um plugin normal teria.
Para evitar levantar suspeitas, o código também apresentou ao usuário um “comentário de abertura com aparência profissional, sugerindo que se trata de um plugin de cache”, explica a equipe Wordfence da Defiant.
Uma vez instalado, o malware adiciona filtros específicos para que não apareça na lista de plug-ins ativados, ao mesmo tempo que fornece aos invasores uma variedade de funções, incluindo a capacidade de criar uma conta de administrador.
Capaz de operar como um script independente e como um plugin, A porta de trás também contém funcionalidade de ping para que o agente da ameaça possa verificar se está operacional e ativar e desativar outros plug-ins remotamente.
De acordo com a equipe do Wordfence, o script pode criar uma conta com o nome de usuário ‘superadmin’, com a função definida como administrador e com uma senha codificada. Ele também contém um código para remover a conta quando ela não for mais necessária.
Ademais, a empresa de segurança identificou uma função de detecção de bot no código, que permite ao malware fornecer conteúdo malicioso aos usuários, com base em filtros específicos.
“Um traço comum compartilhado por esses cenários de infecção é que os proprietários de sites acham que seus sites parecem bons para eles, mas seus visitantes relataram problemas como ver spam ou serem redirecionados para sites duvidosos. Outros relatam que seu site parece e se comporta de maneira completamente normal, mas só mostra conteúdo de spam quando o visita a partir de um mecanismo de pesquisa”, explica a empresa.
Esse malware normalmente fornece conteúdo malicioso aos mecanismos de pesquisa, para que possa ser indexado e direcionar o tráfego para o site infectado.
O backdoor também contém um gancho para verificar se o usuário atual é um administrador e também realiza outras verificações para fornecer o conteúdo não modificado do site. Se essas condições não forem atendidas, o usuário receberá conteúdo malicioso e outras funções serão invocadas para inserir spam nas páginas.
“O malware contém outras funções de limpeza que permitem remover conteúdo malicioso do banco de dados, além da exclusão do usuário administrador”, explica Defiant.
Ademais, a empresa de segurança identificou funções específicas de malware que permitem aos invasores controlar e monetizar remotamente os sites das vítimas.