標籤:

黑客開發虛假WordPress安全插件植入後門感染用戶

近日,據外媒報道稱,網路犯罪分子在一個 WordPress 插件的源代碼中隱藏了一個 PHP 後門,並將其偽裝成一款名為「X-WP-SPAM-SHIELD-PRO」安全工具來竊取用戶數據。

很顯然,攻擊者正在試圖利用合法且受歡迎的WordPress插件「WP-SpamShield Anti-Spam」進行傳播,並對外宣稱其是一款流行的防垃圾郵件工具,但是,事實上,一旦用戶下載「X-WP-SPAM-SHIELD-PRO」後就會被後門感染,從而允許攻擊者在用戶的網站上創建自己的管理員賬號,並將文件上傳到受害者的伺服器上,禁用所有插件等等。

安全插件上演「無間道」

所有的惡意行為都通過這個虛假插件的文件傳播,例如:

class-social-facebook.php——偽裝成社交媒體垃圾郵件防護工具,但內部的代碼會將用戶的插件列表發送給攻擊者,並可選擇禁用所有插件。禁用所有插件的原因是為了關閉其它阻止訪問登錄功能或檢測黑客的非授權登錄的安全插件;

class-term-metabox-formatter.php——將用戶的WordPress版本的發送給攻擊者;

class-admin-user-profile.php——向所有WordPress的管理員用戶列表發送給攻擊者;

plugin-header.php——添加一個名為「mw01main」的附加管理用戶;

wp-spam-shield-pro.php——Ping 位於mainwall.org上的黑客伺服器,讓攻擊者知道新用戶何時安裝了虛假的插件。該文件發送的數據包括用戶、密碼、受感染站點的URL以及伺服器的IP地址等。

最後一個文件還包含一段代碼,允許攻擊者在受害者的站點上上傳ZIP壓縮包,解壓並運行其中的文件。當安全研究人員發現這個惡意插件時,其提供下載的 ZIP文件已經損壞,但是,專家認為,攻擊者也在一款知名的 WordPress SEO 插件「All in one SEO Pack」中部署了一個受污染的版本。

安全建議

據發現該「X-WP-SPAM-SHIELD-PRO」插件的網路安全公司Sucuri表示,該反垃圾插件從來沒有在官方的 WordPress 插件存儲庫中提供過,而是通過其他方式提供的。總而言之,該插件會試圖誘騙用戶安裝它們來保護自身網站安全,但是實際上這些所謂的安全插件卻在威脅網站安全。

就像 Google Play Store、Apple App Store以及其他官方商店一樣,WordPress 建議用戶只能從官方插件庫安裝免費插件。雖然 WordPress 插件存儲庫及其管理員並未完美無誤,但是其提供下載的插件通常都是經由社區巡檢過的,而社區通常會及時檢測並報告這些威脅,所以用戶可以放心使用。

本文翻譯自:bleepingcomputer.com/ne,如若轉載,請註明原文地址:4hou.com/info/news/7844 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

安卓惡意軟體檢測:系統調用日誌+機器學習演算法
白帽黑客:我是如何用總裁座機給你打的電話!
如何將Kali Linux秒變成一個能夠攔截網路流量的代理路由器
俄羅斯黑客暗網出售勒索軟體服務(RaaS),價格低廉人人可用
滲透技巧——從Admin許可權切換到System許可權

TAG:信息安全 |