Дослідники безпеки компанії Sucuri виявили, що кіберзлочинці використовують підробні плагіни, які ховаються у нас на очах та служать чорним входом для отримання доступу до веб-сайтів на базі WordPress. Компанія з’ясувала, що два з цих фальшивих плагінів з назвами initiatorseo та updrat123 клонували функціональність популяного плагіна зі створення резервної копії та відновлення, UpdraftPlus.
Підроблені плагіни можна легко створювати за допомогою автоматизованих інструментів. Або шляхом введення зловмисних навантажень, таких як веб-оболонки в межах вихідного коду офіційних плагінів. Ці підробні плагіни не відображаються на інформаційній панелі WordPress веб-сайта, що знаходиться під загрозою. Оскільки вони були розроблені таким чином, щоб не потрапляти на очі.
Дослідники Sucuri повідомили, що плагіни повідомлять зловмиснику про свою присутність на сайті лише у тому випадку, коли вони виставляють GET-запити із спеціальними параметрами активності або тестового ключа. Такі плагіни завантажують довільні файли для зловмисних цілей, щоб заразити сервери, де знаходяться веб-сайти, використовуючи POST-запити. Sucuri зазначила, що зловмисники також видаляли веб-оболонки, шкідливі скрипти, що забезпечують віддалений доступ до сервера, у випадкових місцях на серверах заражених сайтів. Скрипти з випадковими іменами також завантажувалися в кореневі каталоги сайтів.
Звісно, жоден з варіантів цієї атаки не новий. Але це підтверджує, що очищення лише видимих частин проблеми недостатньо. Хакери хочуть підтримувати доступ до веб-сайтів якомога довше. Для цього вони завантажують різні бекдори у випадкові файли, розкидані по всьому сайту. Іноді бекдори приходять у вигляді плагінів WordPress, які можуть бути непомітні для профіля адміністратора. Крім того, скомпрометовані веб-сайти можуть використовуватися для зловмисних дій, які повністю невидимі ззовні. Включаючи DDoS-атаки і атаки методом «грубої сили», надсилання тонни спаму або шифрування. Тільки контроль цілісності файлової системи і сканування на стороні сервера можуть допомогти у виявленні подібних шкідливих програм.