Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ một loại phần mềm độc hại phức tạp mới giả mạo plugin WordPress để lén lút tạo tài khoản quản trị viên và điều khiển từ xa một trang web bị xâm nhập.
"Hoàn thành với một nhận xét mở đầu trông chuyên nghiệp ngụ ý đây là một plugin lưu vào bộ đệm, mã giả mạo này chứa nhiều chức năng, thêm các bộ lọc để ngăn chính nó bị đưa vào danh sách các plugin được kích hoạt và có chức năng ping cho phép tác nhân độc hại kiểm tra xem tập lệnh vẫn hoạt động cũng như khả năng sửa đổi tập tin", Wordfence cho biết .
Plugin cũng cung cấp khả năng kích hoạt và hủy kích hoạt các plugin tùy ý trên trang web từ xa cũng như tạo tài khoản quản trị viên lừa đảo với tên người dùng superadmin và mật khẩu được mã hóa cứng.
Trong nỗ lực xóa dấu vết xâm phạm, nó có một chức năng có tên "_pln_cmd_hide" được thiết kế để xóa tài khoản quản trị viên cấp cao khi không còn cần thiết.
Một số chức năng đáng chú ý khác của phần mềm độc hại bao gồm khả năng kích hoạt từ xa các chức năng độc hại khác nhau, thay đổi bài đăng và nội dung trang cũng như chèn các liên kết hoặc nút spam, đồng thời khiến trình thu thập thông tin của công cụ tìm kiếm lập chỉ mục nội dung đáng ngờ để chuyển hướng khách truy cập trang web đến các trang web sơ sài.
Nhà nghiên cứu Marco Wotschka cho biết: “Kết hợp lại với nhau, những tính năng này cung cấp cho kẻ tấn công mọi thứ chúng cần để kiểm soát từ xa và kiếm tiền từ trang web nạn nhân, gây tổn hại đến thứ hạng SEO của chính trang web đó và quyền riêng tư của người dùng”.
"Kích hoạt plugin từ xa và tạo và xóa người dùng quản trị viên cũng như lọc nội dung có điều kiện cho phép cửa sau này dễ dàng bị người dùng thiếu kinh nghiệm phát hiện."
Quy mô của các cuộc tấn công và vectơ xâm nhập ban đầu chính xác được sử dụng để xâm nhập các trang web hiện chưa được xác định.
Tiết lộ này được đưa ra khi Sucuri tiết lộ rằng hơn 17.000 trang web WordPress đã bị xâm nhập vào tháng 9 năm 2023 bằng phần mềm độc hại Balada Injector để thêm các plugin độc hại và tạo các quản trị viên blog lừa đảo.