Carding 4 Carders
Professional
![wordpress.jpg](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiAbhhGk7UX-fPA5rR5I07YnDHZU1AtlnIaWfV-rS4a-k2MSgC0MKKIrht52uPUTKSDbbH3g4qMza6SHV5CWVdjRyYsfnBdquBGI8kIP6ZOiL_GrctytcUcSmNqXJjInBPJ_VWJlNwUColVVIpmcJEKBIfhVNn1AIxRidq11BKNsOmm9Wtkb9lo0M2KFN9B/s728-rw-ft-e30/wordpress.jpg)
Исследователи кибербезопасности пролили свет на новый сложный вид вредоносного ПО, которое маскируется под плагин WordPress, чтобы незаметно создавать учетные записи администратора и удаленно управлять взломанным сайтом.
"В комплекте с профессионально выглядящим вступительным комментарием, подразумевающим, что это плагин кэширования, этот мошеннический код содержит множество функций, добавляет фильтры, предотвращающие включение его в список активированных плагинов, и обладает функцией пинга, которая позволяет злоумышленнику проверить, работает ли скрипт по-прежнему, а также возможностями модификации файлов", - сказали в Wordfence.
Плагин также предоставляет возможность удаленно активировать и деактивировать произвольные плагины на сайте, а также создавать мошеннические учетные записи администратора с именем пользователя superadmin и жестко закодированным паролем.
В том, что рассматривается как попытка стереть следы компрометации, оно содержит функцию с именем "_pln_cmd_hide", предназначенную для удаления учетной записи superadmin, когда она больше не требуется.
Некоторые из других примечательных функций вредоносного ПО включают в себя способность удаленно активировать различные вредоносные функции, изменять записи и содержимое страниц и вводить спам-ссылки или кнопки, а также заставлять поисковые роботы индексировать сомнительный контент, чтобы перенаправлять посетителей сайта на сомнительные сайты.
"В совокупности эти функции предоставляют злоумышленникам все необходимое для удаленного управления сайтом-жертвой и монетизации сайта-жертвы в ущерб собственному SEO-рейтингу сайта и конфиденциальности пользователей", - сказал исследователь Марко Вотшка.
![Плагин кэширования WordPress Плагин кэширования WordPress](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEikp2mJ0MloYzQyHUqrpvHPa-8Jw4g6_TK03wDNwEQlyJSBp-sSlv63Vva_0bBgQz2yMq5eXuLK0abqPQiWhx1loAiRZeXPjlyPgtwQ3b_myGyIIsW5DvackqdnJtqL_fBwfeHsrCF9QDjyp0-AdT5N76OwZGBE6nbDFhJ0KLDqLLOibnW-pNuMb7S42a2J/s728-rw-ft-e30/admin.jpg)
"Удаленная активация плагина и создание и удаление пользователя с правами администратора, а также условная фильтрация контента позволяют этому бэкдору легко избежать обнаружения неопытным пользователем".
Масштаб атак и точный начальный вектор вторжения, используемый для взлома сайтов, в настоящее время неизвестны.
Раскрытие происходит после того, как Sucuri сообщила, что более 17 000 веб-сайтов WordPress были скомпрометированы в сентябре 2023 года с помощью вредоносной программы Balada Injector для добавления вредоносных плагинов и создания администраторов блогов-мошенников.
https://thn.news/cis-d