Ένας από τους πιο συχνούς στόχους των hackers είναι τα WordPress plugin. Στην πραγματικότητα, οι hackers εκμεταλλεύονται ευπάθειες για να πραγματοποιήσουν επιθέσεις στα WordPress sites. Η τελευταία επίθεση που ανακαλύφθηκε σχετίζεται με το cryptomining.
Η ερευνητική ομάδα της εταιρείας ασφαλείας Sucuri παρατήρησε ότι τους τελευταίους μήνες οι hackers χρησιμοποιούν όλο και πιο συχνά κακόβουλα plugins. Συνήθως κλωνοποιούν νόμιμα λογισμικά και τα μολύνουν με κακόβουλα λογισμικά για να πραγματοποιούν επιθέσεις.
Οι hackers χρησιμοποιούν τα ψεύτικα plugins για να αποκτήσουν πρόσβαση στον server ακόμα και μετά την αφαίρεση του φορέα μόλυνσης. Πέρα από αυτό, όμως, τα plugins μπορεί να περιέχουν κακόβουλο κώδικα που επιτρέπει, για παράδειγμα, την κρυπτογράφηση περιεχομένου.
Οι ερευνητές της Sucuri ανακάλυψαν ένα plugin που εξυπηρετεί δύο σκοπούς. Πρόκειται για έναν κλώνο του “wpframework”. Ανακαλύφθηκε το Σεπτέμβριο και σύμφωνα με τους ερευνητές χρησιμοποιήθηκε από hackers για την απόκτηση και διατήρηση μη εξουσιοδοτημένης πρόσβασης στο site του θύματος.
Το ψεύτικο plugin αναζητά λειτουργίες που επιτρέπουν την εκτέλεση εντολών σε επίπεδο server περιορίζοντας αυτό το προνόμιο στο botmaster. Επιπλέον, εκτελεί ένα Linux binary, το οποίο χρησιμοποιείται για την εξόρυξη cryptocurrency.
Όταν οι ερευνητές έλεγξαν το domain, που φιλοξένησε το binary, δεν ήταν πλέον ενεργό. Ωστόσο, η δυνατότητα για cryptomining ήταν παρούσα.
Δημιουργία κακόβουλων plugins
Οι ερευνητές της Sucuri ανέφεραν ότι ο αριθμός των ψεύτικων, κακόβουλων plugins έχει αυξηθεί, αλλά δεν ανέφεραν το λόγο για τον οποίο συμβαίνει αυτό. Ένας λόγος μπορεί να είναι η ευκολία με την οποία δημιουργούνται. Οι hackers δεν χρειάζεται να δημιουργήσουν ένα κακόβουλο WordPress plugin από την αρχή. Μπορούν απλά να τροποποιήσουν τον κώδικα ενός υπάρχοντος και να συμπεριλάβουν κακόβουλα στοιχεία.
Επιπλέον, υπάρχουν πολλά εργαλεία που μπορούν να βοηθήσουν τους επιτιθέμενους να δημιουργήσουν ένα plugin και να το μολύνουν με κακόβουλο payload.
Τέλος, ακόμα και μη έμπειροι hackers μπορούν να συμβουλευτούν το διαδίκτυο και να μάθουν να δημιουργούν αυτά τα ψεύτικα στοιχεία. Στο Ίντερνετ υπάρχουν πολλά βιντεάκια, που δείχνουν πώς δημιουργούνται τα plugins.
Η Sucuri συμβουλεύει τους ιδιοκτήτες των WordPress sites να κάνουν συνεχείς ελέγχους για κακόβουλες δραστηριότητες και να ενημερώνουν τακτικά τα συστήματά τους.
