Сложная цепочка заражения WordPress: анализ троянца и дроппера

Недавний случай обнаружения вредоносного ПО на взломанных веб-сайтах WordPress показал высокую степень сложности и скрытности атак. Злоумышленники разработали цепочку заражения, которая позволяет доставлять троянца пользователям без типичных признаков компрометации, что значительно усложняет обнаружение и предотвращение атаки.

Механизм работы вредоносного кода

Ключевой элемент атаки – внедрение вредоносного кода в легальные PHP-файлы, такие как header.php и man.php. Эти файлы выполняют центральную роль в управлении всей цепочкой заражения:

• header.php действует как главный контроллер. Он собирает информацию о посетителях, создает черный список на основе IP-адресов и генерирует запутанный пакетный скрипт.
• Пакетный скрипт, созданный header.php, запускает загрузку ZIP-архива с вредоносным файлом client32.exe – троянской программой для Windows.
• При посещении сайта вредоносное ПО записывает IP-адрес в файл журнала count.txt, что позволяет избежать повторного заражения с одного IP.

Работа пакетного скрипта включает последовательное выполнение команд PowerShell для загрузки, извлечения и запуска полезной нагрузки трояна. Для обеспечения устойчивости вредоносного ПО скрипт добавляет запись в реестр Windows, чтобы client32.exe автоматически запускался при старте системы.

Особенности функционала троянца client32.exe

После активации client32.exe устанавливает постоянное соединение с сервером управления (C2) по заранее определенному IP-адресу. Несмотря на то, что полная реализация вредоносной программы не была детально проанализирована, её поведение указывает на наличие основных функций трояна удаленного доступа (RAT), таких как:

• автоматическое выполнение;
• постоянное подключение к C2-инфраструктуре;
• удаленное управление зараженной системой.

Значение и рекомендации по защите

Данный инцидент являлся ярким примером эволюции методов взлома, в которых киберпреступники используют сочетание PowerShell и пакетных скриптов для скрытого развертывания и запуска вредоносного ПО, обходя механизмы обнаружения. В современных условиях это требует особого внимания к превентивным мерам для защиты веб-ресурсов и конечных пользователей.

Рекомендуется соблюдать следующие меры:

• регулярно проводить сканирование сайтов на наличие вредоносных модулей;
• использовать веб-аппликационные брандмауэры (WAF) для фильтрации подозрительного трафика;
• оперативно применять обновления и патчи для CMS и сопутствующих компонентов;
• ограничивать права доступа пользователей и контролировать загрузку исполняемых файлов;
• поддерживать актуальность антивирусного и антималварного ПО на пользовательских устройствах.

Безопасность веб-сайтов на WordPress требует системного подхода и постоянного мониторинга — только так возможно эффективно противодействовать сложным и скрытым угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.