HackerNews 编译,转载请注明出处:
安全研究人员发现一款伪装成合法WordPress插件的危险恶意软件变种。该恶意软件名为“WP-antymalwary-bot.php”,可让攻击者持久访问受感染网站、注入恶意代码,并能向网站访问者推送远程广告。
Wordfence威胁情报团队在2025年1月22日的常规网站清理中发现,该恶意软件模仿真实插件的结构,包含标准格式和元数据。但它具有多个特别危险的后门功能:紧急登录所有管理员(emergency_login_all_admins)功能允许攻击者使用GET请求和硬编码密码以管理员身份登录;执行管理员命令(execute_admin_command)功能通过REST API接收命令并无权限检查地执行,使攻击者能将PHP代码注入主题头部或清除插件缓存。
该插件最令人担忧的是自我复制特性。若被删除,它会通过修改后的wp-cron.php文件重新安装。该文件在网站被访问时运行,成为隐秘的再感染渠道:将恶意插件重新写入系统并自动激活。
恶意软件每分钟都会与位于塞浦路斯的命令与控制(C2)服务器通信,发送受感染网站的URL和时间戳。这种利用WordPress内置调度器的报告功能属于非常规策略,用于维护被入侵网站的数据库。
根据Wordfence,WP-antymalwary-bot.php的主要感染迹象包括:
- 包含check_plugin或emergency_login的异常GET请求被篡改的wp-cron.php文件主题header.php文件中的代码注入通过base64解码URL插入的JavaScript广告
近期变种显示其复杂程度提升,允许动态更新广告推送URL(部分实现仍不完整),表明该恶意软件正在积极开发中并可能持续改进。
为降低感染风险,网站管理员应:
- 定期审计已安装插件和主题移除未使用或可疑文件监控未经授权的修改确保文件完整性禁用直接文件编辑功能使用强管理员凭证和多因素认证(MFA)实施定期异地备份部署可靠的安全插件或防火墙
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
