Для получения доступа к сайтам, работающим на базе системы управления контентом WordPress, злоумышленники используют вредоносные плагины с функциями бэкдора, которые прячут на самом видном месте.

Как сообщают специалисты компании Sucuri, функционал некоторых таких плагинов, в частности initiatorseo и updrat123, скопирован с чрезвычайно популярного плагина UpdraftPlus, предназначенного для резервного копирования и восстановления данных. Создать подделку очень легко, достаточно лишь воспользоваться готовыми автоматизированными инструментами или внедрить в исходный код легитимного плагина вредоносную нагрузку, например, web-оболочку.

Администраторам скомпрометированного сайта вредоносные плагины на панели инструментов не видны. «Для тех, кто не использует браузеры с особыми строками User-Agent, плагин по умолчанию не отображается на панели инструментов. Эти строки варьируются в зависимости от плагина», - сообщили исследователи.

Обнаружить вредоносный плагин можно с помощью специального GET-запроса с заданными параметрами, такими как initiationactivity или testingkey. Главная задача подобных плагинов – выполнение роли бэкдора на скомпрометированном сайте и предоставление атакующему доступа к серверу, даже если первоначальный вектор атаки был закрыт.

С помощью бэкдора злоумышленники загружают на серверы взломанных сайтов вредоносные файлы путем отправки POST-запросов. В этих запросах содержатся параметры с URL-адресами мест загрузки, директориями для записи файлов и именами загружаемых файлов.

По словам специалистов Sucuri, злоумышленники загружают web-оболочки (вредоносные скрипты, предоставляющие удаленный доступ к серверу) в произвольные места на серверах взломанных сайтов. В частности, скрипты с произвольными именами загружаются в корневые папки и позволяют киберпреступникам осуществлять брутфорс-атаки на другие сайты.

Исследователи также обнаружили новое поколение вредоносных плагинов, обладающих функциями не только бэкдоров, но и майнеров криптовалюты.

https://www.securitylab.ru/news/501876.php