Sajber kriminalci sakrili backdoor u lažnom WordPress pluginu
Vesti, 02.10.2017, 01:00 AM
Sajber kriminalci su sakrili kod za PHP backoor u izvornom kodu WordPress plugina predstavljajući ga kao "X-WP-SPAM-SHIELD-PRO", upozorili su istraživači iz firme Sucuri. Oni pokušavaju da iskoriste reputaciju WordPress plugina "Wp-SpamShield Anti-Spam", popularnog anti-spam alata za WordPress sajtove.
Korisnike koji su preuzeli X-WP-SPAM-SHIELD-PRO sačekalo je neprijatno iznenađenje u vidu backdoora koji omogućava napadaču da napravi svoj administratorski nalog na sajtu, otprema fajlove na servere žrtve, isključuje sve pluginove itd.
Za zlonamerno ponašanje plugina odgovorni su njegovi fajlovi:
-
class-social-facebook.php prestavlja alat za zaštitu od spama, ali kod otkriven u njemu šalje napadaču listu pluginova koje koristi žrtva, a može i da isključi sve pluginove. Razlog za isključivanje pluginova je to što napadač želi da onemogući pluginove za zaštitu koji blokiraju funkcije prijavljivanja i koji bi otkrili nedozvoljene pokušaje prijavljivanja;
-
class-term-metabox-formatter.php šalje napadaču verziju WordPressa;
-
class-admin-user-profile.php šalje napadaču listu svih WordPress admin korisnika;
-
plugin-header.php dodaje još jednog admin korisnika pod imenom mw01main;
-
wp-spam-shield-pro.php pinguje server napadača na mainwall.org, omogućavajući mu da sazna kad je novi korisnik instalirao lažni plugin. Podaci koje ovaj fajl šalje uključuju korisničko ime, lozinku, URL inficiranog sajta, i IP adresu servera.
Poslednji od ovih fajlova sadrži i kod koji omogućava napadaču da otpremi ZIP fajl na sajt žrtve, da ekstrahuje fajlove koje on sadrži i da ih pokrene.
U trenutku kad su pronašli ovaj maliciozni plugin, ZIP fajl je bio oštećen, a stručnjaci misle da je napadač koristio pokvarenu verziju poznatog plugina All In One SEO Pack.
X-WP-SPAM-SHIELD-PRO nikada nije bio u WordPress repozitorijumu, ali je bio dostupan iz drugih izvora.
Kao što je slučaj sa Google Play Store, Apple App Store i drugim zvaničnim prodavnicama, i korisnicima WordPressa se savetuje da instaliraju besplatne pluginove samo iz zvaničnog repozitorijuma, koji je iako daleko od savršenog, ipak najbolje rešenje.
Izdvojeno
Korisnici iPhonea mete napada upitima za resetovanje lozinke
Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje
Mobi Banka upozorava na pokušaje prevare na društvenim mrežama
Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje
Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare
Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje
Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare
Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje
Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji
Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje
Pratite nas
Nagrade