Security Week сообщает, что исследователи из ИБ-компании SiteLock обнаружили поддельный WordPress-плагин для поисковой оптимизации, открывающий доступ к атакуемому сайту.

Вредоносное ПО носит имя WP-Base-SEO, имитируя легитимный плагин WordPress SEO Tools, и для пущей убедительности снабжено ссылкой на официальную базу плагинов для WordPress и техдокументацию. Тем не менее анализ показал наличие зашифрованного по base64 вызова php-функции eval(), что сразу насторожило исследователей.

Эта функция позволяет выполнять произвольный код PHP, переданный в виде строки, и нередко используется с неблаговидной целью. Злоупотребления этим способом неявного вызова php-кода стали настолько частым явлением, что PHP.net рекомендует воздержаться от использования eval().

Как оказалось, директория WP-Base-SEO содержит два файла. Один из них, wp-sep.php, оперирует разными именами функций и переменных в зависимости от инсталляции. Второй файл, wp-seo-main.php, вкладывает вызов eval() в заголовок темы сайта, используя нативную функциональность перехвата событий в WordPress (add_action). Некоторые версии WordPress используют также дополнительный хук after_setup_theme, который срабатывает после каждой загрузки страницы. В результате вызов eval() будет происходить каждый раз при загрузке темы в браузер.

По свидетельству SiteLock, злоумышленники уже скомпрометировали множество сайтов, хотя Google-поиск по имени вредоносного плагина никакой информации пока не дает. Исследователи заключили, что WP-Base-SEO просто еще не попал на радары антивирусных сканеров.

Ввиду текущей киберкампании администраторам WordPress-сайтов рекомендуется провести сканирование на предмет вредоносной активности и актуализировать CMS-систему, все темы и плагины. При обнаружении подозрительного наименования в директории /wp-content/plugins исследователи советуют удалить папку целиком и реинсталлировать чистую версию плагина через панель администрирования или загрузкой с сайта WordPress.org.

Категории: Аналитика, Вредоносные программы