Los sitios web que ejecutan WordPress son como catnip para hackers. Entre los millones de usuarios de WordPress hay muchos con credenciales de inicio de sesión débiles, que se explotan para lanzar campañas de malware.
Muchas de estas campañas se han lanzado recientemente, y nosotros en Imunify360 hemos descubierto otra. Lo detectamos por primera vez el 13 de abril, y desde entonces lo hemos visto bloqueado por Imunify más de 300.000 veces. En el último mes, esta campaña ha comprometido miles de sitios web sin protección basados en WordPress.
Vamos a analizar esta nueva campaña de malware de WordPress para ver lo que hace que sea peligroso para los sitios web que ejecutan WordPress.
Lo que lo hace peligroso
- Los archivos se pueden leer y escribir.
En esta campaña de malware, el atacante utiliza el siguiente bloque de código malicioso para leer cualquier archivo arbitrario en el servidor web comprometido: Esta parte del código ayuda al atacante a cargar o escribir en un archivo…
que se utiliza para dejar caer más malware en el sitio web comprometido más tarde:
Los plugins se pueden activar/desactivar.
Ahora que el atacante controla el sitio web, puede activar y desactivar sus plugins de WordPress utilizando el siguiente código de malware:
El malware se puede dejar caer en las carpetas de WP.
El código malicioso recupera una versión actualizada del malware de un servidor de comando y control, y lo deja caer en las carpetas de WordPress.
Esta versión actualizada de sí mismo genera nombres de archivo aleatorios cada vez que se captura…
y lo deja caer en varias ubicaciones, incluyendo la
- carpeta /wp-contents/uploads/: También puede soltar su carga útil en otras carpetas, como wp-includes, wp-admin, wp-content/themes y wp-content/plugins.
- 4. Los archivos de tema se pueden modificar.
El malware también modifica los archivos de tema de WordPress para soltar referencias al código de malware que se dejó caer
anteriormente:
5. Se pueden ejecutar comandos de nivel de sistema.
El siguiente fragmento de código toma la entrada de comandos del sistema operativo de nivel de sistema, y lo procesa a través de las funciones php exec y shell_exec:
6. Se cosechan las credenciales de WordPress.
Las credenciales de usuario de WordPress se cosechan, luego se envían al servidor de C&C en: Estas credenciales podrían ser utilizadas en una fase posterior por el atacante, para reinfectar el sitio si se elimina el malware.
Cómo se protege a sí mismo
Este malware no sólo está escrito para infiltrarse en el servidor y filtrar datos, sino que también incluye mecanismos de evasión y protección para evitar que se descubra y se apague.
Estos mecanismos incluyen:
- Comunicación
codificada Este malware codifica todo tipo de información compartida entre el servidor C&C y el sitio hackeado. Lo hace con cadenas binarias codificadas hexadecimalmente, a través del
- uso de la función php hex2bin: Aquí la variable $cmd, que puede contener el comando OS que se va a ejecutar, se pasa a través de la función hex2bin que decodifica la cadena codificada.
- 2. Ofuscación
de URL base La URL base del servidor C&C también está codificada en el código de malware, con una cadena binaria codificada hexadecimalmente que decodifica
3. Autorización de comunicación
El malware se autoriza con el servidor de C&C antes de establecer la comunicación, utilizando un token MD5 que varía de un sitio a otro:
4. Capacidad de autodestrucción
El malware también tiene la capacidad de eliminarse de los archivos de WordPress que ha infectado. Utiliza la función no extendida para hacer eso:
Detectar y limpiar este malware
Si está utilizando Imunify360, o la versión gratuita de Imunify, ImunifyAV, puede detectar este malware con un análisis regular de los archivos de la cuenta. Los archivos de malware se identifican en Imunify, con una firma separada como:
SMW-INJ-14643-php.bkdr.wp
Con el apoyo de ImunifyAV+ o Imunify360, estos archivos se pueden limpiar o eliminar. Solo deberá solicitarlo vía ticket y el equipo de Soporte de SNHC lo hará por usted con todo gusto.