Sajber kriminalci sakrili backdoor u lažnom WordPress pluginu

Vesti, 02.10.2017, 01:00 AM

Sajber kriminalci sakrili backdoor u lažnom WordPress pluginu

Sajber kriminalci su sakrili kod za PHP backoor u izvornom kodu WordPress plugina predstavljajući ga kao "X-WP-SPAM-SHIELD-PRO", upozorili su istraživači iz firme Sucuri. Oni pokušavaju da iskoriste reputaciju WordPress plugina "Wp-SpamShield Anti-Spam", popularnog anti-spam alata za WordPress sajtove.

Korisnike koji su preuzeli X-WP-SPAM-SHIELD-PRO sačekalo je neprijatno iznenađenje u vidu backdoora koji omogućava napadaču da napravi svoj administratorski nalog na sajtu, otprema fajlove na servere žrtve, isključuje sve pluginove itd.

Za zlonamerno ponašanje plugina odgovorni su njegovi fajlovi:

  • class-social-facebook.php prestavlja alat za zaštitu od spama, ali kod otkriven u njemu šalje napadaču listu pluginova koje koristi žrtva, a može i da isključi sve pluginove. Razlog za isključivanje pluginova je to što napadač želi da onemogući pluginove za zaštitu koji blokiraju funkcije prijavljivanja i koji bi otkrili nedozvoljene pokušaje prijavljivanja;

  • class-term-metabox-formatter.php šalje napadaču verziju WordPressa;

  • class-admin-user-profile.php šalje napadaču listu svih WordPress admin korisnika;

  • plugin-header.php dodaje još jednog admin korisnika pod imenom mw01main;

  • wp-spam-shield-pro.php pinguje server napadača na mainwall.org, omogućavajući mu da sazna kad je novi korisnik instalirao lažni plugin. Podaci koje ovaj fajl šalje uključuju korisničko ime, lozinku, URL inficiranog sajta, i IP adresu servera.

Poslednji od ovih fajlova sadrži i kod koji omogućava napadaču da otpremi ZIP fajl na sajt žrtve, da ekstrahuje fajlove koje on sadrži i da ih pokrene.

U trenutku kad su pronašli ovaj maliciozni plugin, ZIP fajl je bio oštećen, a stručnjaci misle da je napadač koristio pokvarenu verziju poznatog plugina All In One SEO Pack.

X-WP-SPAM-SHIELD-PRO nikada nije bio u WordPress repozitorijumu, ali je bio dostupan iz drugih izvora.

Kao što je slučaj sa Google Play Store, Apple App Store i drugim zvaničnim prodavnicama, i korisnicima WordPressa se savetuje da instaliraju besplatne pluginove samo iz zvaničnog repozitorijuma, koji je iako daleko od savršenog, ipak najbolje rešenje.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje