Новости Какой ущерб вашему сайту может нанести новый админ? Выяснили аналитики Defiant

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Теперь нужно внимательно следить, как ваш сайт выглядит глазами пользователя.


y5w8gcaja1kv4o9kjym5yqxb9as4qlzt.jpg


Специалисты компании Defiant Для просмотра ссылки Войди или Зарегистрируйся новое вредоносное ПО, которое маскируется под легитимный плагин кэширования и заражает сайты WordPress , позволяя злоумышленникам создать учетную запись администратора и контролировать активность сайта.

Вредоносное ПО представляет собой бэкдор со множеством функций, которые позволяют управлять плагинами и скрываться на зараженных сайтах, заменять контент или перенаправлять определенных пользователей на вредоносные ресурсы.

Компания Defiant, разработчик плагина безопасности Wordfence для WordPress, обнаружила вредоносное ПО код в июле во время очистки одного из сайтов. При более тщательном изучении бэкдора исследователи обратили внимание, что в начале кода находится «профессионально выполненный вступительный комментарий», имитирующий инструмент кэширования, который обычно помогает снизить нагрузку на сервер и улучшить время загрузки страниц.

Маскировка под такой инструмент кажется обдуманной – так киберпреступники обеспечили «незаметность» бэкдора во время ручной проверки. Также вредоносный плагин настроен на исключение себя из списка «активных плагинов» для уклонения от обнаружения.

Вредоносное ПО обладает следующими возможностями:

  1. Создание пользователей – функция создает пользователя с именем «superadmin» с жестко закодированным паролем и правами администратора, в то время как вторая функция может удалить этого пользователя, чтобы стереть следы заражения.
  2. Создание поддельного администратора на сайте.
  3. Обнаружение ботов – когда посетителей идентифицируют как ботов (например, поисковые роботы), вредоносный код предоставляет им другой контент, например, спам , что приводит к индексации зараженного сайта с вредоносным контентом.
  4. Замена контента – вредоносный код может изменять контент и содержание страниц, вставляя спам-ссылки или кнопки. При этом администраторам сайта отображается первоначальный, неизмененный контент, чтобы скрыть факт компрометации.
  5. Управление плагинами – операторы вредоносного ПО могут удаленно активировать или деактивировать произвольные плагины WordPress на зараженном сайте, а также очищать свои следы в базе данных сайта.
  6. Удаленный вызов – бэкдор проверяет определенные строки useragent, позволяя злоумышленникам удаленно активировать различные вредоносные функции.
Функции вредоносного ПО предоставляют хакерам все необходимое для удаленного управления и монетизации заражённого сайта, что вредит рейтингу SEO сайта и приватности пользователей. На данный момент Defiant не предоставляет деталей о количестве скомпрометированных сайтов, и исследователи еще не определили первоначальный вектор доступа.

Отметим, что типичные методы компрометации сайта включают использование украденных учетных данных, брутфорс или эксплуатацию уязвимости в существующем плагине или теме. Поэтому владельцам сайтов следует использовать надёжные и уникальные учетные данные для аккаунтов администраторов, обновлять плагины, а также удалять неиспользуемые дополнения и неактивных пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы