WordPress-антивирус оказался троянцем: самоустанавливается, шпионит и открывает дверь зловреду
Он выглядел слишком правдоподобно, чтобы вызвать хоть малейшие подозрения.
Один из самых популярных способов атак на WordPress — маскировка вредоносного кода под безобидный плагин. Но на этот раз зловред ушёл гораздо дальше обычного обмана. Команда Wordfence обнаружила любопытный пример вредоносного плагина, который внешне ничем не отличался от обычных инструментов для администрирования, но фактически давал полный контроль над сайтом злоумышленнику.
Плагин под названием «WP-antymalwary-bot.php» попадал на сайт в виде PHP-файла и сразу же прятался от глаз администратора — его не было видно в панели управления. При этом в арсенале у него был целый набор функций: удалённое выполнение кода, обход авторизации, внедрение вредоносного JavaScript, перезапись файлов тем и даже самовосстановление. Если такой плагин удаляли, он заново устанавливался при следующем посещении сайта — благодаря заражённому файлу «wp-cron.php», который WordPress использует для планирования задач.
Самое тревожное — наличие так называемой функции «экстренного входа». С помощью одного GET-запроса и заранее известного пароля злоумышленник мог получить доступ к первой найденной учётной записи администратора. Подключение происходило без лишнего шума, но следы оставались в логах, что и позволило исследователям заметить аномалию.
Механизм заражения начинался с «wp-cron.php», а дальше вредоносный код разрастался: плагин вставлял произвольный PHP-код в файлы «header.php» всех тем оформления, мог очищать кеши и регулярно отправлял сигналы на управляющий сервер, расположенный на IP-адресе 45.61.136.85. Эта связь позволяла атакующим поддерживать список заражённых сайтов и, возможно, управлять ими в реальном времени.
В новом варианте вредоноса появились дополнительные функции — например, использование внутреннего планировщика WordPress для периодического обмена данными с C2-сервером. Также код научился извлекать вредоносные JavaScript-файлы с других скомпрометированных сайтов и внедрять их в HTML-страницы, что делало атаку сложнее для обнаружения.
Особое внимание специалистов привлекла аккуратность написания кода — чистая структура, корректные отступы и описания. Всё это напоминает не кустарную подделку, а почти легитимный плагин. Такой подход уже встречался ранее, в том числе в цепочках атак с участием вредоносного кода, сгенерированного с помощью ИИ. Новый плагин тоже имеет схожие черты — например, частично реализованные функции и возможность эволюции функционала.
Вредоносный код обнаруживался под разными именами: «addons.php», «wpconsole.php», «scr.php», «wp-performance-booster.php» и другими. Его присутствие можно распознать по изменениям в «wp-cron.php», появлению параметра «emergency_login» в логах и модифицированным файлам тем.
История с «антивирусным ботом» для WordPress — ещё одно напоминание, что даже легитимно выглядящие плагины могут нести серьёзную угрозу. Особенно если они не проверены, а сайт не имеет полноценной защиты.