Siber güvenlik araştırmacıları, gizlice yönetici hesapları oluşturmak ve güvenliği ihlal edilmiş bir siteyi uzaktan kontrol etmek için WordPress eklentisini taklit eden yeni ve karmaşık bir kötü amaçlı yazılım türüne ışık tuttu.
“Bunun bir önbellek eklentisi olduğunu ima eden profesyonel görünümlü bir açılış yorumuyla tamamlanan bu hileli kod, çok sayıda işlev içerir, etkinleştirilmiş eklentiler listesine dahil edilmesini önlemek için filtreler ekler ve kötü niyetli bir aktörün, eklentinin etkin olup olmadığını kontrol etmesine olanak tanıyan ping işlevine sahiptir. Wordfence, komut dosyasının yanı sıra dosya değiştirme yeteneklerinin de hala çalışır durumda olduğunu söyledi.
Eklenti aynı zamanda sitedeki isteğe bağlı eklentileri uzaktan etkinleştirme ve devre dışı bırakmanın yanı sıra, superadmin kullanıcı adı ve sabit kodlanmış bir parola ile hileli yönetici hesapları oluşturma olanağı da sunar.
Güvenliği ihlal izlerini silme girişimi olarak görülen bu özellik, artık gerekli olmadığında süper yönetici hesabını kaldırmak için tasarlanmış “_pln_cmd_hide” adlı bir işleve sahiptir.
Kötü amaçlı yazılımın diğer dikkate değer işlevlerinden bazıları arasında, çeşitli kötü amaçlı işlevleri uzaktan etkinleştirme, gönderileri ve sayfa içeriğini değiştirme, spam bağlantıları veya düğmeleri ekleme ve site ziyaretçilerini yarım yamalak sitelere yönlendirmek için arama motoru tarayıcılarının şüpheli içeriği dizine eklemesine neden olma yeteneği yer alır.
Araştırmacı Marco Wotschka, “Birlikte ele alındığında bu özellikler, saldırganlara, sitenin kendi SEO sıralaması ve kullanıcı gizliliği pahasına, kurban siteyi uzaktan kontrol etmek ve para kazanmak için ihtiyaç duydukları her şeyi sağlıyor” dedi.
“Uzaktan eklenti aktivasyonu ve yönetici kullanıcı oluşturma ve silmenin yanı sıra koşullu içerik filtreleme, bu arka kapının deneyimsiz kullanıcı tarafından kolayca tespit edilmesini engellemesine olanak tanıyor.”
Saldırıların ölçeği ve siteleri ihlal etmek için kullanılan ilk izinsiz giriş vektörü şu anda bilinmiyor.
Açıklama, Sucuri’nin Eylül 2023’te 17.000’den fazla WordPress web sitesinin kötü amaçlı eklentiler eklemek ve hileli blog yöneticileri oluşturmak amacıyla Balada Injector kötü amaçlı yazılımıyla ele geçirildiğini açıklamasının ardından geldi.