網絡安全公司Sucuri近日發現,網絡犯罪分子在虛假防垃圾WordPress插件“X-WP-SPAM-SHIELD-PRO”的源代碼內隱藏PHP后門,偽裝成安全工具竊取用戶數據。
攻擊者顯然是在試圖利用合法WordPress插件“WP-SpamShield Anti-Spam”發起攻擊。
黑客開發虛假WordPress安全插件植入后門感染用戶-E安全
下載“X-WP-SPAM-SHIELD-PRO”的用戶會被后門感染,攻擊者可在用戶網站創建自己的管理賬號,將文件上傳到受害者的服務器上,禁用所有插件等。
利用安全插件傳送后門
所有惡意行為通過這個虛假插件的文件傳播,例如:
class-social-facebook.php——偽裝成社交媒體垃圾郵件防護工具,但其中的代碼會將用戶的插件列表發送給攻擊者,并隨意禁用所有插件。禁用所有插件是為關閉其它阻止非授權登錄訪問或檢測非授權登錄的安全插件。
class-term-metabox-formatter.php——將用戶的WordPress版本的發送給攻擊者。
class-admin-user-profile.php——向所有WordPress管理用戶名單發送給攻擊者
plugin-header.php——添加名為“mw01main”的管理用戶。
wp-spam-shield-pro.php——Ping mainwall.org上的黑客服務器,當新用戶安裝虛假插件時通知攻擊者。文件發送的數據包括用戶、密碼、被感染的網址和服務器IP地址。
后一個文件還包含一段代碼,允許攻擊者將ZIP壓縮包上傳至受害者網絡,解壓并運行其中的文件。
建議用戶使用WordPress官方插件庫
Sucuri公司表示,這款插件未出現在官方WordPress插件庫中,而是在其它地方提供下載來源。該插件誘使用戶擔心自己的網站安全,而事實上確是攻擊者下的套。專家建議WordPress用戶僅安裝官方插件庫的插件。
京公網安備 11010502049343號