Бэкдор предназначен для хищения учетных данных пользователей зараженных сайтов.
Специалисты компании Sucuri обнаружили бэкдор в версии 0.9.8.8 популярного плагина Custom Content Type Manager (CCTM) для WordPress, позволяющий злоумышленникам похищать учетные данные пользователей зараженных сайтов.
В ходе проверки одного из инфицированных сайтов под управлением WordPress исследователи обнаружили подозрительный файл auto-update.php. Как показало дальнейшее расследование, auto-update.php на деле является бэкдором, способным загружать дополнительные файлы с удаленного сервера.
В течение трех лет CCTM был доступен в директории плагинов на сайте WordPress, но в последние 10 месяцев не обновлялся. Однако некоторое время назад проект сменил владельца и немедленно был обновлен до версии 0.9.8.8. Новым хозяином CCTM стал разработчик под псевдонимом wooranker, привнесший свои изменения. В частности, добавился файл CCTM_Communicator.php, сообщавший о каждом новом сайте, использовавшем вредоносную версию плагина. Помимо прочего, CCTM перехватывал на зараженном ресурсе логины и пароли (в зашифрованном виде), переправляя их на wordpresscore.com.
При помощи похищенных логинов и паролей wooranker пытался авторизоваться на инфицированных сайтах, однако безуспешно. Новый владелец CCTM изменил тактику и добавил функцию редактирования файлов wp-login.php, wp-admin/user-new.php, и wp-admin/user-edit.php. В итоге wooranker получил возможность перехвата данных (в том числе логинов и паролей) до шифрования. Также злоумышленник начал создавать новую учетную запись с правами администратора (support/ support@wordpresscore.com) на зараженных сайтах.
Эксперты рекомендуют всем администраторам, использующим данный плагин, обновиться до безопасной версии 0.9.8.9.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале