تستخدم حملة جديدة للبرامج الضارة التي تستهدف مواقع WordPress مكونًا إضافيًا ضارًا متنكراً كأداة أمان لخداع المستخدمين في تثبيتها والثقة بها.
وفقًا للباحثين في Wordfence ، توفر البرامج الضارة للمهاجمين وصولًا مستمرًا وتنفيذ الرمز البعيد وحقن JavaScript. في الوقت نفسه ، يظل مخفيًا من لوحة معلومات البرنامج المساعد للتهرب من الكشف.
اكتشف Wordfence لأول مرة البرامج الضارة أثناء تنظيف الموقع في أواخر يناير 2025 ، حيث عثرت على ملف “wp-cron.php” ، والذي ينشئ وينشط ببرامج مكون إضافي ضار اسمه “wp-antymalwary-bot.php.”
تشمل أسماء البرنامج المساعد الأخرى المستخدمة في الحملة:
- addons.php
- wpconsole.php
- WP-performance-booster.php
- Scr.Php
إذا تم حذف المكون الإضافي ، فإن wp-cron.php يعيد خلقه وإعادة تنشيطه تلقائيًا في زيارة الموقع التالية.
تفتقر إلى سجلات الخادم للمساعدة في تحديد سلسلة العدوى الدقيقة ، يفترض Wordfence أن العدوى تحدث عبر حساب استضافة للخطر أو بيانات اعتماد FTP.
لا يُعرف الكثير عن الجناة ، على الرغم من أن الباحثين لاحظوا أن خادم القيادة والتحكم (C2) موجود في قبرص ، وهناك سمات مماثلة”https://www.bleepingcomputer.com/news/security/plugins-on-wordpressorg-backdoored-in-supply-chain-attack/” الهدف=”_blank” rel=”nofollow noopener”> يونيو 2024 هجوم سلسلة التوريد.
بمجرد نشطه على الخادم ، يقوم المكون الإضافي بإجراء فحص لذاته ، ثم يمنح مسؤول المهاجم.
“The plugin provides immediate administrator access to threat actors via the emergency_login_all_admins function,” يشرح Wordfence في كتابته.
“This function utilizes the emergency_login GET parameter in order to allow attackers to obtain administrator access to the dashboard.”
“If the correct cleartext password is provided, the function fetches all administrator user records from the database, picks the first one, and logs the attacker in as that user.”
بعد ذلك ، يقوم المكون الإضافي بتسجيل مسار واجهة برمجة تطبيقات REST غير مصادفة يتيح إدخال رمز PHP التعسفي في جميع ملفات رأس السمة النشطة.
يمكن لإصدار محدث من البرامج الضارة أيضًا ضخ JavaScript الذي تم ترميزه BASE64 في قسم
للموقع ، على الأرجح لخدمة إعلانات الزوار أو البريد العشوائي أو إعادة توجيهها إلى مواقع غير آمنة.
بصرف النظر عن المؤشرات المستندة إلى الملفات مثل الإضافات المدرجة ، يجب على مالكي المواقع التدقيق في ملفات “wp-cron.php” و “header.php” لإضافات أو تعديلات غير متوقعة.
يجب أن تكون سجلات الوصول التي تحتوي على ‘Emergency_login و’ ‘check_plugin “و” urlchange “و” المفتاح “بمثابة أعلام حمراء ، مما يستدعي المزيد من التحقيق.