Un plugin de securitate fals din WordPress permite accesul la interfața de administrator
Sursă: https://thehackernews.com/
Specialiștii în domeniul securității cibernetice au clarificat informațiile cu privire la o nouă campanie ce vizează site-urile WordPress și care maschează malware-ul ca fiind un plugin de securitate.
Plugin-ul, care poartă numele WP-antymalwary-bot.php, vine cu o varietate de caracteristici pentru a menține accesul, a se ascunde din consola de administrare și a executa cod de la distanță.
Descoperit pentru prima dată în timpul unui demers de verificare a unui site la sfârșitul lunii ianuarie 2025, malware-ul a fost detectat de atunci cu noi variante. Unele dintre celelalte denumiri utilizate pentru plugin sunt:
- addons.php;
- wpconsole.php;
- wp-performance-booster.php;
- scr.php.
Odată instalat și activat, acesta oferă atacatorilor acces la consola de administrare și utilizează API REST pentru a facilita executarea de cod de la distanță prin injectarea de cod PHP malițios în fișierul header al temei site-ului sau prin ștergerea cache-ului plugin-urilor de cache populare.
O nouă versiune a malware-ului include modificări notabile ale modului în care sunt gestionate injectările de cod, obținând codul JavaScript găzduit pe un alt domeniu compromis pentru a furniza reclame sau spam.
Pluginul este completat, de asemenea, de un fișier wp-cron.php malițios, care recreează și reactivează malware-ul în mod automat la următoarea accesare a site-ului, în cazul în care acesta este eliminat din directorul plugin-urilor.
De asemenea, a fost dezvăluită și o campanie de skimmer web ce utilizează un domeniu de font-uri false numit italicfonts[.]org pentru a afișa un formular de plată fals pe paginile de plată, pentru a sustrage informațiile introduse și pentru a exfiltra datele către serverul atacatorului.
Un alt atac de tip multi-stage carding a fost examinat de specialiști vizând infectarea cu malware JavaScript conceput pentru a colecta o gamă largă de informații sensibile.
Acest malware a utilizat un fișier de imagine GIF fals, date locale din browser sessionStorage și a manipulat traficul site-ului web utilizând un server proxy malițios pentru a facilita obținerea datelor de card, detalii de conectare, module cookie și alte date sensibile de pe site-ul web compromis, au semnalat specialiștii.
A mai fost constatat faptul că verificările CAPTCHA malițioase furnizate pe site-urile web compromise îi determină pe utilizator să descarce și să execute backdoor-uri bazate pe Node.js ce colectează informații despre sistem, acordă acces de la distanță și implementează trojan cu acces de la distanță (RAT) Node.js, conceput pentru a direcționa traficul malițios prin proxy-uri SOCKS5.
Sursă: https://thehackernews.com/2025/05/fake-security-plugin-on-wordpress.html
