Gli esperti di Defiant hanno scoperto una backdoor che, mascherandosi come plugin legittimo per WordPress, permette di eseguire una serie di attività, tra cui la creazione di account amministratore. Il malware è piuttosto sofisticato e offre altre funzionalità, inclusa la sostituzione dei contenuti del sito o blog.
Pericolosa backdoor per WordPress
La backdoor è stata scoperta il 18 luglio durante la scansione di un sito con il plugin Wordfence sviluppato da Defiant. Il malware sembra un plugin di caching professionale usato per velocizzare il caricamento delle pagine. Non viene mostrato nell’elenco dei plugin attivi, quindi l’utente non si accorge della sua presenza. Gli esperti di Defiant hanno identificato cinque funzionalità.
La prima consente ai cybercriminali di creare un account con username superadmin
e password hardcoded con permessi di amministratore. L’obiettivo è quindi prendere il controllo del sito o blog. Successivamente l’account viene cancellato per non lasciare tracce.
La seconda funzionalità consente di rilevare i bot (ad esempio i crawler dei motori di ricerca). In questo caso, i visitatori vedranno spam o verranno reindirizzati su siti infetti. La backdoor può inoltre modificare post e pagine, inserendo link di spam o pulsanti. I cybercriminali possono anche attivare e disattivare plugin arbitrari da remoto.
Il malware consente infine di attivare varie funzioni e monetizzare il sito a discapito del ranking SEO e della privacy degli utenti. Non è noto il numero di siti compromessi. I ricercatori non hanno identificato il vettore di accesso iniziale, ma solitamente l’intrusione viene effettuata tramite password rubate o trovate con la forza bruta. Molto frequente anche lo sfruttamento delle vulnerabilità di plugin e temi.