Plugin de WordPress malicioso instalado backdoor em milhares de sites

 

plugin do Widget vomitou spam para vítimas inocentes

Hackers usaram um plugin WordPress para instalar backdoors em até 200,000 sites, allowng spam para ser carregado em sites desavisados.

De acordo com pesquisa realizado pela TI empresa de segurança WordFence, o plugin, conhecido como Widgets de Exibição, deve ser removido imediatamente por proprietários de sites. A empresa disse que as três últimas versões do plug-in ter contido um código que permite que o autor de publicar qualquer conteúdo em um site afetado.

“Os autores deste plug-in têm vindo a utilizar o backdoor para publicar conteúdo de spam para sites de executar o seu plugin. Durante os últimos três meses, o plugin foi removido e readmitido no repositório de plugin WordPress.org um total de quatro vezes “, disse Mark Maunder, CEO da WordFence.

Maunder disse que o plugin foi desenvolvido originalmente pelo autor original como um plugin de código aberto, mas foi então vendido para outras pessoas em 21 Junho de. Uma versão atualizada, 2.6.0 foi lançado pelo seu novo proprietário imediatamente. WordFence foi informado pela David Law, um consultor de SEO baseada no Reino Unido, que o widget tinha começar a instalar o código adicional e, em seguida, começou a baixar dados de lei está do servidor.

Na 23 Junho de, WordFence removido widget de exibição, e uma semana depois, a nova versão proprietário lançado 2.6.1 do plugin. Esta versão continha um arquivo chamado geolocation.php que, ninguém percebeu na hora, código malicioso contido. Este código permitido o autor plugin para postar novos conteúdos a qualquer website rodando o plugin, a uma URL de sua escolha.

"Além disso, o código malicioso impediu qualquer usuário logado de ver o conteúdo. Em outras palavras, os proprietários do site não iria ver o conteúdo malicioso. David Law novamente em contato com a equipe de plug-in e que eles saibam que o plugin está registrando visitas a cada site para um servidor externo, o que tem implicações de privacidade “, disse Maunder.

Na 1 Julho, o plugin foi retirado do repositório WordPress, mas, em seguida, seguido pela versão 2.6.2 na 6 Julho. Mais uma vez, incluído o código malicioso acima referenciado que ainda tinha passado despercebido por ninguém.

Foi no 23 Julho, quando um usuário, com o nome de Calvin Ngan abriu um relato bilhete Trac que os Widgets de exibição foi injetar o conteúdo com spam em seu website. Ele incluiu um link para os resultados do Google que tinha indexados ao spam e disse que o código malicioso está em geolocation.php.

Em setembro, Versão 2.6.3 do plugin foi lançado e incluiu o mesmo código malicioso. A semana passada, um usuário do fórum em WordPress.org relatou que o spam foi injetado em seu site sobre os Widgets de exibição do plugin fórum de suporte.

“Os autores do plug-in estão mantendo ativamente seu código malicioso, alternar entre as fontes de spam e trabalhando para ofuscar (ocultar) o domínio que eles estão buscando spam “, disse Maunder.

O widget foi removido em permanentely 8 Setembro de, mas Maunder rastreou novo comprador do plugin para um serviço chamado WP Devs, que compra plugins antigos e abandonados.

Suas investigações constatou que a empresa parece ser administrado por uma pessoa nos EUA e, possivelmente, outra na Europa de Leste, a julgar pelos erros linguísticos feitas pelo cartaz.

Maunder disse que as pessoas na comunidade WordPress não deve “iniciar qualquer caça às bruxas”.

“Ocasionalmente plugins alterar a propriedade e muito raramente, que não vai bem. Isso parece ser o que aconteceu neste caso “, disse ele.

Fonte

2 Comentários

Deixar uma resposta