Encontrar una puerta trasera en un complemento no oficial para WordPress

0

 

Si antes vimos cómo el popular CCleaner fue utilizado para para instalar el software espía a través de una puerta trasera, los investigadores han descubrió otro en un WordPress plugin supuestamente creado para hacer cumplir la seguridad CMS, X-WP-SPAM-SHIELD-PRO es un plugin que nunca ha estado en los repositorios oficiales de WordPress y ha intentado aprovechar la buena reputación de WP-SpamShield Anti-Spam utilizados para el filtrado de spam, con el fin de engañar a los usuarios desprevenidos y los tienen que añadir a sus instalaciones de CMS.

El crimen cibernético no sólo ha intentado aprovechar ilegítimamente la reputación de otro plugin, sino que también ha introducido una puerta trasera construida por PHP el conocido lenguaje de programación para crear páginas web dinámicas en el nivel del servidor.

El comportamiento malicioso de X-WP-SPAM-SHIELD-PRO está disperso por todo el equipo. en varios archivos PHP, que son los siguientes: Es de suponer que es una herramienta de protección contra el spam entrante. a través de las redes sociales, pero en realidad su código envía una lista de usuarios al atacante y permite la desactivación de todos los plugins. El hecho de poder deshabilitar los complementos podría deshabilitar las funciones de seguridad. Envía la versión de WordPress usada al atacante.

Envía al atacante una lista de todos los usuarios de tipo administrador de la instalación de WordPress. Agrega un usuario de tipo de administrador adicional denominado mw01main así que si un administrador o mantenedor lo ve en una instalación de CMS, posiblemente es que se ha instalado el complemento X-WP-SPAM-SHIELD-PRO con su correspondiente puerta trasera.

wp-spam-shield-pro.php: ping al servidor de hackers ubicado en mainwall.org . Esto le permite saber cuándo una nueva víctima ha instalado el complemento malicioso. También envía datos como el nombre de usuario, la contraseña, la dirección URL y la dirección IP del servidor infectado. Además, incluye un código que permite al ciberdelincuente cargar un archivo ZIP, descomprimirlo y luego ejecutar los archivos contenidos dentro de la instalación de WordPress.

Como curiosidad, el archivo ZIP suministrado a la víctima del servidor en el ataque está dañado, por lo que los investigadores creen que puede ser una versión alterada del complemento.