Хакери крият зловреден код в специална директория на WordPress
Експертите по сигурността от Sucuri са се натъкнали на нова скица за офанзива, при която хакери употребяват специфична папка на WordPress (mu-plugins) за скриване на злотворен код. Тази директория е предопределена за така наречен приставки за наложителна приложимост, които се задействат автоматизирано без присъединяване на админ и не се появяват в общоприетия интерфейс. Това държание я прави идеална точка за прикрито слагане на зловредни съставни елементи.
Според откривателите в няколко случая в директорията са открити по едно и също време три разновидности на зловредни PHP файлове. Един от тях – „ redirect.php “ прикрито пренасочва потребителите към външни запаси, маскиран като актуализация на браузъра. Вторият злотворен файл – „ index.php “, дава на нападателите опция за отдалечено осъществяване на случаен код посредством евакуиране на скриптове от GitHub. Третият съставен елемент – „ custom-js-loader.php “ инжектира нежелателен спам и заместваше изображенията с откровени материали, като пренасочваше външни връзки към лъжливи уеб сайтове.
Особеността на метода се състои в това, че зловредният скрипт е в положение да дефинира дали актуалният клиент е бот на търсачка. Ако това е по този начин, пренасочването се деактивира, като по този метод се заобикаля откриването на злонамерено държание по време на индексирането. Това прави офанзивата по-устойчива на разкриване и я прави изключително рискова за елементарните консуматори.
Експертите означават, че този метод е част от по-широка акция, при която компрометираните уеб сайтове на WordPress се употребяват като платформи за по-нататъшни офанзиви. По-специално, има случаи, при които посетителите са били помолени да преминат подправена reCAPTCHA или Cloudflare CAPTCHA, след което в системата се изтеглят злонамерени PowerShell команди се конфигурира троянецът Lumma Stealer.
Успоредно с това компрометираните уеб сайтове могат да хостват злотворен JavaScript, предопределен за събиране на информация, въведена от потребителите на страниците за заплащане. Съществуват и сюжети, при които трафикът просто се пренасочва към лъжливи запаси на трети страни. Макар че точните способи за компрометиране на уеб страниците остават незнайни, счита се, че хакерите употребяват уязвимости в приставки и тематики, както и че получават достъп посредством откраднати идентификационни данни и погрешно конфигурирани сървъри.
За да се сведат до най-малко рисковете, специалистите предлагат навреме да се актуализират плъгините и тематиките, постоянно да се ревизират файловете на уеб страницата за подозрителни промени, да се употребяват комплицирани пароли и да се ползват защитни стени за приложения. Тези ограничения оказват помощ за спиране на злонамерените поръчки и блокиране на опитите за въвеждане на злотворен код.
