Popularni WordPress plugin instalira backdoor koji krade korisnička ime i lozinke administratora

Vesti, 07.03.2016, 00:30 AM

Popularni WordPress plugin instalira backdoor koji krade korisnička ime i lozinke administratora

Istraživači iz firme Sucuri razotkrili su zlonamerno delovanje popularnog WordPress plugina Custom Content Type Manager (CCTM) koji instalira backdoor preko koga menja osnovne WordPress fajlove da bi mogao da krade korisnička imena i lozinke sa inficiranih sajtova.

Stručnjake Sucurija, firme koja se bavi zaštitom web sajtova, na ovo je upozorio jedan od klijenata kompanije koji je primetio fajl čudnog naziva - auto-update.php, kojeg nije bilo pre poslednjeg ažuriranja plugina.

Custom Content Type Manager je za tri godine od kada se pojavio uspeo da stekne mnogo poklonika, tako da je trenutno instaliran na više od 10000 sajtova.

Istraživači su otkrili da je plugin koji je prethodnih deset meseci izgledao kao napušteni projekat iznenada promenio vlasnika i odmah zatim i programera, koji je ažurirao plugin tako da je korisnicima ponuđena nova verzija plugina.

Sve ove promene plugina nisu bile dobronamerne. Auto-update.php fajl je bio prva indicija da se nešto sumnjivo dešava. Ovaj fajl može da preuzima fajlove sa servera na inficirani web sajt.

Osim toga, pluginu je dodat i CCTM_Communicator.php koji radi zajedno sa jednim drugim, starijim, a legitimnim plugin fajlom. Zadatak ovih fajlova je ping servera programera kako bi se autor obavestio o novoinficiranom inficiranom sajtu.

Plugin prikuplja informacije o inficiranom web sajtu, ali i nadgleda proces prijavljivanja i beleži korisnička imena i lozinke koje šalje wordpresscore.com serveru.

Sporna verzija plugina Custom Content Type Manager je 0.9.8.8 koju su korisnici ili sami instalirali ili je ona automatski instalirana ako je uključeno automatsko ažuriranje.

Kada prikupi podatke o inficiranim sajtovima, autor modifikovane verzije plugina pokušava da im pristupi. U jednom slučaju, on je pokušao da se prijavi na jedan od inficiranih web sajtova ali nije uspeo jer je vlasnik sajta promenio login URL. Kada je video da je njegov pokupaj propao, on je promenio taktiku, pa je iskoristio auto-update.php backdoor i primorao sajt da preuzme i instalira fajl c.php, koji kreira još jedan fajl - wp-options.php.

Zadatak tog fajla je da izmeni ključne WordPress fajlove: wp-login.php, wp-admin/user-new.php i wp-admin/user-edit.php.

Ove promene obezbeđuju hakeru da kontroliše prijavljanje korisnika, presretanje korisničkih podataka pre šifrovanja, i slanje lozinki na njegov server.

Osim toga, wp-options.php kreira administratorski nalog na inficiranom sajtu koji može biti iskorišćen ako ništa drugo ne uspe. Tako će haker uvek imati administratorski nalog na svim inficiranim web sajtovima, i uvek će biti obavešten o tome koje lozinke koriste korisnici kada pristupaju inficiranim sajtovima.

Za slučaj da CCTM_Communicator.php fajl ima problem sa izveštavanjem o inficiranim web sajtovima, haker je uključio svoj JavaScrip analitički kod, koji se učitava preko CCTM plugina kao lažna verzija jQuery.

JavaScript fajl sve nove infekcije prijavljuje donutjs.com domenu. Svi domeni koji se koriste u ovom napadu povezani su sa jednim programerom iz Indije.

WordPress administatori koji imaju instaliran ovaj plugin treba da ga uklone odmah, da vrate ključne WordPress fajlove na standardne verzije. Ako baš žele da zadrže CCTM plugin na svojim sajtovima, trebalo bi da koriste stabilnu verziju (0.9.8.6).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje