Cybersecurity -onderzoekers hebben licht geworpen op een nieuwe campagne die zich richt op WordPress -sites die de malware vermomt als een beveiligingsplug -in.
De plug-in, die de naam “WP-ANTYMALWARY-BOT.PHP” heeft, wordt geleverd met verschillende functies om de toegang te behouden, zich te verbergen voor het admin-dashboard en externe code uit te voeren.
“Pinging-functionaliteit die kan rapporteren aan een command-and-control (C&C) -server is ook opgenomen, net als code die malware helpt verspreiden in andere mappen en kwaadaardig JavaScript injecteert dat verantwoordelijk is voor het bedienen van advertenties,” zei Marco Wotschka van Wordfence in een rapport.
Voor het eerst ontdekt tijdens een sitesopruiming eind januari 2025, is de malware sindsdien in het wild gedetecteerd met nieuwe varianten. Sommige van de andere namen die voor de plug -in worden gebruikt, worden hieronder vermeld –
- addons.php
- wpconsole.php
- WP-Performance-Booster.php
- scr.php
Eenmaal geïnstalleerd en geactiveerd, biedt het bedreigingsactoren beheerder toegang tot het dashboard en maakt het gebruik van de REST API om externe code -uitvoering te vergemakkelijken door kwaadaardige PHP -code in het koptekstbestand van het sitethema te injecteren of de caches van populaire caching -plug -ins te wissen.
Een nieuwe iteratie van de malware omvat opmerkelijke wijzigingen in de manier waarop code -injecties worden afgehandeld, waardoor JavaScript -code wordt gehost op een ander gecompromitteerd domein om advertenties of spam te bedienen.
De plug-in wordt ook aangevuld met een kwaadwillend WP-CRON.php-bestand, dat de malware automatisch herschept en opnieuw activeert bij het volgende sitebezoek als deze uit de map van de plug-ins wordt verwijderd.
Het is momenteel niet duidelijk hoe de sites worden overtreden om de malware te leveren of wie achter de campagne zit. De aanwezigheid van Russische taalcommentaar en berichten geeft echter waarschijnlijk aan dat de dreigingsactoren Russisch sprekend zijn.
De openbaarmaking komt als Sucuri gedetailleerd een web -skimmer -campagne die een nep -lettertekeningsdomein gebruikt met de naam “ItalicFonts (.) Org” om een nep -betalingsformulier op kassa -pagina’s weer te geven, ingevoerde informatie te stelen en de gegevens naar de Server van de aanvaller te exfiltreren.
Een andere “geavanceerde, multi-fase kaartenaanval” onderzocht door het Website Security Company omvat het richten op Magento e-commerce portals met JavaScript-malware die is ontworpen om een breed scala aan gevoelige informatie te oogsten.
“Deze malware maakte gebruik van een nep GIF -afbeeldingsbestand, lokale browser sessionstoragegegevens en geknoeid met het websiteverkeer met behulp van een kwaadaardige omgekeerde proxyserver om de diefstal van creditcardgegevens, inloggegevens, cookies en andere gevoelige gegevens van de gecompromitteerde website te vergemakkelijken,” zei beveiligingsonderzoeker Ben Martin.
Het GIF -bestand is in werkelijkheid een PHP -script dat fungeert als een omgekeerde proxy door inkomende verzoeken vast te leggen en het te gebruiken om de nodige informatie te verzamelen wanneer een sitebezoeker op de kassa -pagina terechtkomt.
Er zijn ook tegenstanders waargenomen bij het injecteren van Google AdSense-code in ten minste 17 WordPress-sites op verschillende plaatsen met als doel ongewenste advertenties te leveren en inkomsten te genereren op basis van een per-klik of per-impressie.
“Ze proberen de middelen van uw site te gebruiken om advertenties te blijven bedienen, en erger nog, ze kunnen uw advertentie -inkomsten stelen als u Adsense zelf gebruikt,” zei beveiligingsonderzoeker Puja Srivastava. “Door hun eigen Google Adsense -code te injecteren, worden ze betaald in plaats van jou.”
Dat is niet alles. Ontceptieve CAPTCHA-verificaties die op gecompromitteerde websites worden bediend, zijn gevonden om gebruikers te misleiden om op Node.js gebaseerde backdoors te downloaden en uit te voeren die systeeminformatie verzamelen, externe toegang verlenen en een knode.js externe toegang tot Trojan (RAT) implementeren, die is ontworpen om kwaadaardig verkeer door sokken5-proxies te tunnelen.
De activiteit is toegeschreven door trustwave spiderlabs aan een verkeersdistributiesysteem (TDS) genaamd Kongtuke (AKA 404 TDS, Chaya_002, Landupdate808 en TAG-124).
“Het JS-script dat, na infectie, werd gedropt, is ontworpen als een multifunctionele achterdeur die in staat is tot gedetailleerd systeemverkenning, het uitvoeren van externe opdrachten, tunnelnetwerkverkeer (SOCKS5 Proxy) en het handhaven van geheime, aanhoudende toegang,” zei beveiligingsonderzoeker Reegun Jayapaul.
