Опасные плагины WordPress: выявление и противодействие скрытым угрозам

Вредоносный плагин «wp-runtime-cache»: новая угроза для сайтов на WordPress

Недавние инциденты в сфере кибербезопасности выявили опасную тенденцию: злоумышленники все активнее эксплуатируют сайты на платформе WordPress, загружая вредоносные плагины. Среди таких угроз выделяется плагин wp-runtime-cache, который маскируется под инструмент кэширования и оптимизации производительности, но фактически используется для кражи учетных данных администраторов.

Механизмы заражения и особенности плагина

Плагин wp-runtime-cache размещается в каталоге wp-content/plugins и поначалу выглядит безобидно за счет заявленной функции кэширования. Однако его поведение вызывает подозрения:

• Отсутствие стандартных опций управления кэшированием;
• Плагин не отображается в списке плагинов панели администратора;
• Содержит только один PHP-файл, в отличие от легальных плагинов, которые обычно включают несколько файлов.

Кроме того, поля описания плагина, автора и URL службы поддержки остаются пустыми. Исследование кода выявило использование запутанных техник, включая кодировку base64 и случайные имена переменных, что традиционно характерно для вредоносного ПО.

Вредоносный функционал и сбор данных

Особое опасение вызывает функция infiltrateDocumentStore0460, чье название указывает на намерение тайно проникнуть в системный контент — действие, отсутствующее в легитимных плагинах. При загрузке страниц плагин активируется, особенно в сессиях входа через аккаунт администратора WordPress. С его помощью злоумышленники:

• Собирают регистрационные данные пользователя;
• Оценивают уровень доступа пользователя на основе ролей;
• Используют встроенную функцию wp_remote_post для отправки полученной информации на внешние серверы.

Дополнительную скрытность обеспечивает функция detachConcurrency0788, которая проверяет наличие ранее сгенерированного хэш-значения, позволяющего отличать легитимных пользователей от злоумышленников. Если пользователь не признан легальным, плагин становится видимым; в противном случае он скрывается из интерфейса администратора.

Тактика злоумышленников и анализ домена

При анализе домена, связанного с вредоносной активностью, обнаружены несоответствия в регистрационных данных: домен зарегистрирован в штате Арканзас, США, но привязан к телефону с кодом Гонконга. Это указывает на намеренное использование методов для усложнения процесса обнаружения и отслеживания злоумышленников.

Рекомендации по защите и предотвращению атак

Полученные данные выявляют уязвимости, возникающие при получении внешними злоумышленниками полного доступа к сайту. Вредоносные плагины способны тайно собирать учетные данные и передавать их на сторонние ресурсы. В связи с этим эксперты настоятельно рекомендуют:

• Проводить регулярные проверки всех установленных плагинов и списка пользователей;
• Обеспечивать использование сложных и регулярно обновляемых паролей для администраторов;
• Внедрять двухфакторную аутентификацию (2FA) для доступа к панели управления;
• Настраивать ограничения по IP-адресам для страницы входа в WordPress;
• В случае компрометации — обновлять настройки в файле wp-config.php для предотвращения повторного доступа с использованием прежних хэшей паролей.

Эти меры являются критически важными для повышения надежности защиты WordPress-сайтов и минимизации рисков, связанных с появлением новых уязвимостей и расширением возможностей злоумышленников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.