Carding 4 Carders
Professional
Исследователи кибербезопасности пролили свет на новый сложный вид вредоносного ПО, которое маскируется под плагин WordPress, чтобы незаметно создавать учетные записи администратора и удаленно управлять взломанным сайтом.
"В комплекте с профессионально выглядящим вступительным комментарием, подразумевающим, что это плагин кэширования, этот мошеннический код содержит множество функций, добавляет фильтры, предотвращающие включение его в список активированных плагинов, и обладает функцией пинга, которая позволяет злоумышленнику проверить, работает ли скрипт по-прежнему, а также возможностями модификации файлов", - сказали в Wordfence.
Плагин также предоставляет возможность удаленно активировать и деактивировать произвольные плагины на сайте, а также создавать мошеннические учетные записи администратора с именем пользователя superadmin и жестко закодированным паролем.
В том, что рассматривается как попытка стереть следы компрометации, оно содержит функцию с именем "_pln_cmd_hide", предназначенную для удаления учетной записи superadmin, когда она больше не требуется.
Некоторые из других примечательных функций вредоносного ПО включают в себя способность удаленно активировать различные вредоносные функции, изменять записи и содержимое страниц и вводить спам-ссылки или кнопки, а также заставлять поисковые роботы индексировать сомнительный контент, чтобы перенаправлять посетителей сайта на сомнительные сайты.
"В совокупности эти функции предоставляют злоумышленникам все необходимое для удаленного управления сайтом-жертвой и монетизации сайта-жертвы в ущерб собственному SEO-рейтингу сайта и конфиденциальности пользователей", - сказал исследователь Марко Вотшка.
"Удаленная активация плагина и создание и удаление пользователя с правами администратора, а также условная фильтрация контента позволяют этому бэкдору легко избежать обнаружения неопытным пользователем".
Масштаб атак и точный начальный вектор вторжения, используемый для взлома сайтов, в настоящее время неизвестны.
Раскрытие происходит после того, как Sucuri сообщила, что более 17 000 веб-сайтов WordPress были скомпрометированы в сентябре 2023 года с помощью вредоносной программы Balada Injector для добавления вредоносных плагинов и создания администраторов блогов-мошенников.
https://thn.news/cis-d
