افتانا 17 فروردين 1399 ساعت 8:56 http://www.aftana.ir/fa/doc/news/16489/انتشار-wp-vcd-طریق-افزونه-های-غیرمجاز-کرونا-وردپرس -------------------------------------------------- عنوان : انتشار WP-VCD از طریق افزونه‌های غیرمجاز کرونا در وردپرس -------------------------------------------------- بدافزار WP-VCD موجود در وردپرس از طریق افزونه‌های غیرمجاز ویروس کرونا منتشر شده‌‌است. متن : بدافزار WP-VCD موجود در وردپرس از طریق افزونه های غیرمجاز ویروس کرونا منتشر شده است. به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخه اصلاح شده افزونه های ویروس کرونا را که به وب سایت backdoor تزریق می کند، منتشر می کنند. خانواده آلودگی های WP-VCD به صورت افزونه های پوچ یا غیرمجاز وردپرس منتشر می شوند که حاوی کد اصلاح شده ای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایل های مختلف PHP تزریق می کند. هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش می کند سایر سایت ها روی host مشترک را به خطر بیندازد و می تواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعمل های جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی است که برای عاملان تهدید درآمد ایجاد می کند. افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر می کند اخیراً گروه MalwareHunter نمونه هایی از افزونه های وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نام گذاری شده اند را منتشرکرد. این افزونه های وردپرس، فایل های zip هستند که حاوی افزونه های تجاری معتبر به نام COVID-۱۹ Coronavirus افزونه نقشه زنده وردپرس، نمودارهای پیش بینی گسترده Coronavirus وcovid-۱۹ بودند. پس از اینکه BleepingComputer آنها را تجزیه وتحلیل کرد، مشخص شد که افزونه ها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشته های مختلف رمزنگاری شده با پایه ۶۴ است که معمولاً با افزونه های WP-VCD همراه هستند. پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه ۶۴ در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره می کند. سپس کد را به فایل /wp-includes/post.php اضافه می کند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود. همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه ۶۴ دیگر اضافه می کند. با این تغیرات فایل، کد WP-VCD مجدداً به سرور C۲ متصل می شود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش می دهد یا به سایت های دیگر تغییر مسیر انجام می دهد، استفاده می شوند. محافظت از سایت در برابر WP-VCD همان طور که بد افزار WP-VCD توسط افزونه های غیرمجاز وردپرس منتشر می شود، بهترین راه جلوگیری از آن این است که از سایت های غیرمجاز افزونه بارگیری نشود. از آنجا که افزونه ها می توانند به راحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح شوند، بارگیری و نصب افزونه های غیرمجاز همیشه یک فعالیت خطرناک است. اکیداً توصیه می شود که افزونه های وردپرس فقط از سایت های مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.