СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.04.2025
#Dev#ИБ#ИИ#Инфра

Обнаружен новый вариант вредоносного ПО для WordPress

Обнаружен новый вариант вредоносного ПО для WordPress

Команда Wordfence по анализу угроз заявила о découvert аллергенного варианта вредоносного ПО, которое успешно маскируется под легальный плагин WordPress, известный как WP-antymalwary-bot.php. Этот новый вид вредоносного ПО предоставляет злоумышленникам возможность поддерживать доступ к зараженным сайтам, скрывая плагин от администраторов.

Функционал Вредоносного ПО

WP-antymalwary-bot.php демонстрирует широкий спектр функций, включая:

  • Поддержка обратной связи с сервером Command & Control (C&C);
  • Распространение вредоносного ПО в другие каталоги;
  • Внедрение вредоносного JavaScript для показа рекламы;
  • Удаленное выполнение команд.

Обнаружение и Распространение

Первоначально вредоносное ПО было обнаружено 22 января 2025 года во время очистки зараженного сайта. Сигнатура для его обнаружения была разработана сразу после, и:

  • Пользователи премиум-класса получили обновление 27 января 2025 года;
  • Бесплатные пользователи – с задержкой 26 февраля 2025 года.

Уязвимости и Риски

Плагин спроектирован так, чтобы казаться легальным, имитируя стандартные методы кодирования, однако он имеет критические уязвимости:

  • Ошибки в обработке REST API для удаленного выполнения кода;
  • Отсутствие проверок авторизации для запуска команды execute_admin_command.

Эти недостатки предоставляют злоумышленникам возможность внедрять вредоносные коды в заголовочные файлы тем или чистить кэши популярных плагинов.

Расширенная Версия Вредоносного ПО

Не так давно был зафиксирован обновленный вариант WP-antymalwary-bot.php, который:

  • Поддерживает планирование событий в планировщике WordPress;
  • Устанавливает связь с C&C сервером, находящимся на Кипре.

Этот вариант отправляет URL-адреса зараженных сайтов и временные метки обратно на сервер каждую минуту, эффективно ведя журнал своих действий.

Эволюция и Перспективы

Обнаружено, что вредоносный код продолжает эволюционировать. Он внедряет JavaScript в заголовки тем, извлекая контент со взломанных сайтов с использованием закодированных URL-адресов. Это изменение указывает на возможное использование искусственного интеллекта в таких атаках, как это наблюдалось ранее.

Заключение

Постоянный доступ к зараженным сайтам и защита от обфускации — это серьезные риски, связанные с этим вредоносным ПО. Вредоносная программа проявила гибкость, с различными итерациями, напоминующими ранее обнаруженные сигнатуры. Это подчеркивает растущую потребность в надежных решениях безопасности для пользователей WordPress и в применении мер защиты, таких как правила брандмауэра, особенно для премиум-пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: