بدافزار WP-VCD موجود در وردپرس از طریق افزونههای غیرمجاز ویروس کرونا منتشر شدهاست.
منبع : مرکز ماهر
بدافزار WP-VCD موجود در وردپرس از طریق افزونههای غیرمجاز ویروس کرونا منتشر شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخهاصلاح شده افزونههای ویروس کرونا را که به وبسایت backdoor تزریق میکند، منتشر میکنند. خانواده آلودگیهای WP-VCD بهصورت افزونههای پوچ یا غیرمجاز وردپرس منتشر میشوند که حاوی کد اصلاحشدهای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایلهای مختلف PHP تزریق میکند.
هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش میکند سایر سایتها روی host مشترک را به خطر بیندازد و میتواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعملهای جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی است که برای عاملان تهدید درآمد ایجاد میکند.
افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر میکند اخیراً گروه MalwareHunter نمونههایی از افزونههای وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نامگذاری شدهاند را منتشرکرد. این افزونههای وردپرس، فایلهای zip هستند که حاوی افزونههای تجاری معتبر به نام « COVID-۱۹ Coronavirus – افزونه نقشه زنده وردپرس»، « نمودارهای پیش بینی گسترده Coronavirus » و«covid-۱۹» بودند. پس از اینکه BleepingComputer آنها را تجزیهوتحلیل کرد، مشخص شد که افزونهها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشتههای مختلف رمزنگاری شده با پایه ۶۴ است که معمولاً با افزونههای WP-VCD همراه هستند. پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه ۶۴ در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره میکند. سپس کد را به فایل /wp-includes/post.php اضافه میکند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود. همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه ۶۴ دیگر اضافه میکند. با این تغیرات فایل، کد WP-VCD مجدداً به سرور C۲ متصل میشود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش میدهد یا به سایتهای دیگر تغییر مسیر انجام میدهد، استفاده میشوند.
محافظت از سایت در برابر WP-VCD همانطور که بدافزار WP-VCD توسط افزونههای غیرمجاز وردپرس منتشر میشود، بهترین راه جلوگیری از آن این است که از سایتهای غیرمجاز افزونه بارگیری نشود. از آنجا که افزونهها میتوانند بهراحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح شوند، بارگیری و نصب افزونههای غیرمجاز همیشه یک فعالیت خطرناک است.
اکیداً توصیه میشود که افزونههای وردپرس فقط از سایتهای مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.