انتشار WP-VCD از طریق افزونه‌های غیرمجاز کرونا در وردپرس
کد مطلب: 16489
تاریخ انتشار : يکشنبه ۱۷ فروردين ۱۳۹۹ ساعت ۰۸:۵۶
 
بدافزار WP-VCD موجود در وردپرس از طریق افزونه‌های غیرمجاز ویروس کرونا منتشر شده‌‌است.
انتشار WP-VCD از طریق افزونه‌های غیرمجاز کرونا در وردپرس
 
 
Share/Save/Bookmark
بدافزار WP-VCD موجود در وردپرس از طریق افزونه‌های غیرمجاز ویروس کرونا منتشر شده‌‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخه‌اصلاح شده افزونه‌های ویروس کرونا را که به وب‌سایت backdoor تزریق می‌کند، منتشر می‌کنند. خانواده آلودگی‌های WP-VCD به‌صورت افزونه‌های پوچ یا غیرمجاز وردپرس منتشر می‌شوند که حاوی کد اصلاح‌شده‌ای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایل‌های مختلف PHP تزریق می‌کند.

هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش می‌کند سایر سایت‌ها روی host مشترک را به خطر بیندازد و می‌تواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعمل‌های جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی است که برای عاملان تهدید درآمد ایجاد می‌کند.

افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر می‌کند
اخیراً گروه MalwareHunter نمونه‌هایی از افزونه‌های وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نام‌گذاری شده‌اند را منتشرکرد.
این افزونه‌های وردپرس، فایل‌های zip هستند که حاوی افزونه‌های تجاری معتبر به نام « COVID-۱۹ Coronavirus – افزونه نقشه زنده وردپرس»، « نمودارهای پیش بینی گسترده Coronavirus » و«covid-۱۹» بودند.
پس از اینکه BleepingComputer آنها را تجزیه‌وتحلیل کرد، مشخص شد که افزونه‌ها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشته‌های مختلف رمزنگاری شده با پایه ۶۴ است که معمولاً با افزونه‌های WP-VCD همراه هستند.
پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه ۶۴ در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره می‌کند. سپس کد را به فایل /wp-includes/post.php اضافه می‌کند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود.
همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه ۶۴ دیگر اضافه می‌کند.
با این تغیرات فایل، کد WP-VCD مجدداً به سرور C۲ متصل می‌شود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش می‌دهد یا به سایت‌های دیگر تغییر مسیر انجام می‌دهد، استفاده می‌شوند.

محافظت از سایت در برابر WP-VCD
همان‌طور که بد‌افزار WP-VCD توسط افزونه‌های غیرمجاز وردپرس منتشر می‌شود، بهترین راه جلوگیری از آن این است که از سایت‌های غیرمجاز افزونه بارگیری نشود. از آنجا که افزونه‌ها می‌توانند به‌راحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح ‌شوند، بارگیری و نصب افزونه‌های غیرمجاز همیشه یک فعالیت خطرناک است.

اکیداً توصیه می‌شود که افزونه‌های وردپرس فقط از سایت‌های مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.
مرجع : مرکز ماهر