Малопримечательный зловред, ориентированный на WordPress и предназначенный для внедрения скрытых рекламных ссылок на сайты, обрел средства самосохранения, способные доставить много хлопот администраторам онлайн-ресурсов.

По свидетельству Defiant (бывшей WordFence), авторы BabaYaga придали своему детищу функциональность, позволяющую удалять конкурентов и обновлять CMS‑систему, чтобы зараженный сайт исправно работал, не вызывая подозрений у веб-мастера.

Данная вредоносная программа, как показало исследование, состоит из двух компонентов. Один из них создает спам-страницы с редиректорами на партнерские сайты и повышает их рейтинг в поисковых системах, добавляя расхожие ключевые слова. Новейшие образцы этого зловреда даже сообщают на C&C-сервер, сколько страниц проиндексировано в поисковиках Google, Bing, Yahoo и Yandex, чтобы злоумышленники могли определить SEO-ценность зараженного сайта.

Другой компонент BabaYaga открывает бэкдор, обеспечивая операторам постоянный доступ к сайту. Примечательно, что при подаче команд через этот модуль злоумышленники не используют пароль — зловред идентифицирует их по строке User-Agent в заголовке запроса.

С помощью набора команд оператор может уточнить текущую версию BabaYaga (тот сам обновляется), загрузить на сайт новый спам-шаблон или произвольный PHP-код с последующим его исполнением, сменить адрес командного сервера (дефолтный вшит в код зловреда), проверить производительность скрипта, распространить инфекцию на другие сайты на том же сервере.

Поскольку основная функциональность BabaYaga требует беспрепятственной загрузки страниц, его авторы заинтересованы в том, чтобы зараженный сайт работал нормально. К тому же любой сбой может привлечь внимание веб-мастера, который в ходе аудита обнаружит нежелательное присутствие.

Чтобы создать зловреду благоприятные условия, его научили проверять определенные файлы на наличие других инфекций и выполнять чистку, закачивать с C&C безупречные копии WordPress и производить замену — даже создавать резервные копии перед обновлением, а затем аккуратно их удалять.

Практически все функции BabaYaga заточены под WordPress, хотя этот зловред, по свидетельству Defiant, может также заражать сайты, использующие Joomla или Drupal.

Исследователи полагают, что BabaYaga создал русскоязычный вирусописатель — об этом прежде всего говорит его название. В конфигурационном файле зловреда обнаружен ключ массива с русскоязычным именем, написанным латиницей. Кроме того, многие C&C-серверы злоумышленники подняли в доменах, привязанных к зоне .ru, и некоторые из этих доменных имен зарегистрированы под email-адресом @yandex.ru.

Категории: Аналитика, Вредоносные программы, Мошенничество