I ricercatori della sicurezza informatica hanno fatto luce su una nuova campagna rivolta ai siti WordPress che maschera il malware come plug -in di sicurezza.
Il plug-in, che si chiama “WP-ANTIMALWARY-BOT.PHP”, è dotato di una varietà di funzionalità per mantenere l’accesso, nascondersi dal cruscotto di amministrazione ed eseguire codice remoto.
“La funzionalità di pinging che può riferire a un server di comando e controllo (C&C) è anche incluso, così come il codice che aiuta a diffondere malware in altre listing e iniettare JavaScript dannoso responsabile del servizio di annunci”, Marco Wotschka di Wordfence disse in un rapporto.
Scoperto per la prima volta durante uno sforzo di pulizia del sito alla high-quality di gennaio 2025, il malware è stato rilevato in natura con nuove varianti. Alcuni degli altri nomi utilizzati per il plugin sono elencati di seguito –
- Addons.php
- wpconsole.php
- wp-performance-booster.php
- scr.php
Una volta installato e attivato, fornisce l’accesso all’amministratore degli attori delle minacce alla dashboard e utilizza l’API REST per facilitare l’esecuzione del codice remoto iniettando codice PHP dannoso nel file di intestazione del tema del sito o cancellando le cache dei plug -in di cache popolari.
Una nuova iterazione del malware embrace modifiche notevoli al modo in cui vengono gestite le iniezioni del codice, recuperando il codice JavaScript ospitato su un altro dominio compromesso per servire annunci o spam.
Il plug-in è anche integrato da un file wp-cron.php dannoso, che ricrea e riattiva automaticamente il malware alla visita del sito successivo in caso di rimosso dalla listing dei plugin.
Al momento non è chiaro come i siti vengano violati per consegnare il malware o chi è dietro la campagna. Tuttavia, la presenza di commenti e messaggi in lingua russa probabilmente indica che gli attori delle minacce sono di lingua russa.
La divulgazione arriva come sucuri dettagliato Una campagna Net Skimmer che utilizza un dominio Fonts False Chiamati “Org (.) Org” per visualizzare un modulo di pagamento falso su pagine di pagamento, rubare informazioni inserite ed esfiltrarsi i dati sul server dell’attaccante.
Un altro attacco di carding multi-stage avanzato e multi-stage “esaminato dalla società di sicurezza del sito Net prevede di focusing on per i portali di e-commerce Magento con malware JavaScript progettato per raccogliere una vasta gamma di informazioni sensibili.
“Questo malware ha sfruttato un file di immagine GIF falso, i dati del browser di browser locale e manomesso il traffico del sito Net utilizzando un server proxy inverso dannoso per facilitare il furto di dati di carta di credito, dettagli di accesso, cookie e altri dati sensibili dal sito Net compromesso”, il ricercatore di sicurezza Ben Martin disse.
Il file GIF, in realtà, è uno script PHP che funge da proxy inverso acquisendo richieste in arrivo e utilizzandolo per raccogliere le informazioni necessarie quando un visitatore del sito atterra sulla pagina di pagamento.
Gli avversari sono stati anche osservati iniettando il codice di Adsense di Google in almeno 17 siti WordPress in vari luoghi con l’obiettivo di fornire annunci indesiderati e generare entrate su base per clic o perimpressione.
“Stanno cercando di utilizzare le risorse del tuo sito per continuare a servire gli annunci e, peggio ancora, potrebbero rubare le entrate pubblicitarie se stai usando Adsense da solo”, il ricercatore della sicurezza Puja Srivastava disse. “Iniettando il proprio codice di Google Adsense, vengono pagati al posto di te.”
Non è tutto. Le verifiche ingannevoli del captcha sono state trovate su siti Net compromessi per indurre gli utenti a scaricare ed eseguire il backdoors basato su Node.JS che raccolgono informazioni di sistema, concedono l’accesso remoto e distribuiscono un nodo.js Accesso remoto Trojan (RAT), che è progettato per tunnel per tunnel traffico dannoso attraverso i prox da calcio5.
L’attività è stata attribuita da TrustWave SpiderLabs a un sistema di distribuzione del traffico (TDS) chiamato Kongtuke (AKA 404 TDS, Chaya_002, Landupdate808 e TAG-124).
“Lo script JS che, è stato lasciato cadere in post-infezione, è progettato come un backdoor multifunzionale in grado di ricognizione di sistema dettagliata, eseguendo comandi remoti, traffico della rete di tunneling (proxy Socks5) e mantenendo un accesso nascosto, persistente” disse.
