Popularni WordPress plugin instalira backdoor koji krade korisnička ime i lozinke administratora

Vesti, 07.03.2016, 00:30 AM

Istraživači iz firme Sucuri razotkrili su zlonamerno delovanje popularnog WordPress plugina Custom Content Type Manager (CCTM) koji instalira backdoor preko koga menja osnovne WordPress fajlove da bi mogao da krade korisnička imena i lozinke sa inficiranih sajtova.

Stručnjake Sucurija, firme koja se bavi zaštitom web sajtova, na ovo je upozorio jedan od klijenata kompanije koji je primetio fajl čudnog naziva - auto-update.php, kojeg nije bilo pre poslednjeg ažuriranja plugina.

Custom Content Type Manager je za tri godine od kada se pojavio uspeo da stekne mnogo poklonika, tako da je trenutno instaliran na više od 10000 sajtova.

Istraživači su otkrili da je plugin koji je prethodnih deset meseci izgledao kao napušteni projekat iznenada promenio vlasnika i odmah zatim i programera, koji je ažurirao plugin tako da je korisnicima ponuđena nova verzija plugina.

Sve ove promene plugina nisu bile dobronamerne. Auto-update.php fajl je bio prva indicija da se nešto sumnjivo dešava. Ovaj fajl može da preuzima fajlove sa servera na inficirani web sajt.

Osim toga, pluginu je dodat i CCTM_Communicator.php koji radi zajedno sa jednim drugim, starijim, a legitimnim plugin fajlom. Zadatak ovih fajlova je ping servera programera kako bi se autor obavestio o novoinficiranom inficiranom sajtu.

Plugin prikuplja informacije o inficiranom web sajtu, ali i nadgleda proces prijavljivanja i beleži korisnička imena i lozinke koje šalje wordpresscore.com serveru.

Sporna verzija plugina Custom Content Type Manager je 0.9.8.8 koju su korisnici ili sami instalirali ili je ona automatski instalirana ako je uključeno automatsko ažuriranje.

Kada prikupi podatke o inficiranim sajtovima, autor modifikovane verzije plugina pokušava da im pristupi. U jednom slučaju, on je pokušao da se prijavi na jedan od inficiranih web sajtova ali nije uspeo jer je vlasnik sajta promenio login URL. Kada je video da je njegov pokupaj propao, on je promenio taktiku, pa je iskoristio auto-update.php backdoor i primorao sajt da preuzme i instalira fajl c.php, koji kreira još jedan fajl - wp-options.php.

Zadatak tog fajla je da izmeni ključne WordPress fajlove: wp-login.php, wp-admin/user-new.php i wp-admin/user-edit.php.

Ove promene obezbeđuju hakeru da kontroliše prijavljanje korisnika, presretanje korisničkih podataka pre šifrovanja, i slanje lozinki na njegov server.

Osim toga, wp-options.php kreira administratorski nalog na inficiranom sajtu koji može biti iskorišćen ako ništa drugo ne uspe. Tako će haker uvek imati administratorski nalog na svim inficiranim web sajtovima, i uvek će biti obavešten o tome koje lozinke koriste korisnici kada pristupaju inficiranim sajtovima.

Za slučaj da CCTM_Communicator.php fajl ima problem sa izveštavanjem o inficiranim web sajtovima, haker je uključio svoj JavaScrip analitički kod, koji se učitava preko CCTM plugina kao lažna verzija jQuery.

JavaScript fajl sve nove infekcije prijavljuje donutjs.com domenu. Svi domeni koji se koriste u ovom napadu povezani su sa jednim programerom iz Indije.

WordPress administatori koji imaju instaliran ovaj plugin treba da ga uklone odmah, da vrate ključne WordPress fajlove na standardne verzije. Ako baš žele da zadrže CCTM plugin na svojim sajtovima, trebalo bi da koriste stabilnu verziju (0.9.8.6).