بدافزار موجود در وردپرس از طریق افزونههای غیرمجاز ویروس کرونا منتشر شده است. عاملان تهدید در پشت پرده بدافزار WP-VCD وردپرس، نسخهاصلاح شده افزونههای ویروس کرونا که به وبسایت backdoor تزریق میکند را منتشر میکنند. خانواده آلودگیهای WP-VCD به صورت افزونههای پوچ یا غیرمجاز وردپرس منتشر میشوند که حاوی کد اصلاح شدهای است که یک Backdoor را به هر theme نصب شده در وبلاگ و همچنین فایلهای مختلف PHP تزریق میکند.
هنگامی که سایت وردپرس توسط WP-VCD در معرض خطر قرار بگیرد، بدافزار تلاش میکند سایر سایتها روی host مشترک را به خطر بیندازد و میتواند مجدداً به سرور فرمان و کنترل (C2) خود متصل شده تا دستورالعملهای جدیدی برای اجرا دریافت کند. هدف نهایی این افزونه مخرب استفاده از سایت وردپرس به خطر افتاده برای نمایش popupها و ایجاد تغییر مسیرهایی که برای عاملان تهدید درآمد ایجاد میکند، میباشد.
1 افزونه غیرمجاز ویروس کرونا WP-VCD را منتشر میکند.
اخیراً گروه MalwareHunter نمونههایی از افزونههای وردپرس با BleepingComputer که درVirusTotal با نام Trojan.WordPress.Backdoor.A نامگذاری شدهاند را منتشرکرد.
این افزونههای وردپرس، فایلهای zip هستند که حاوی افزونههای تجاری معتبر به نام « COVID-19 Coronavirus – افزونه نقشه زنده وردپرس»، « نمودارهای پیش بینی گسترده Coronavirus » و«covid-19» بودند.
پس از اینکه BleepingComputer آنها را تجزیه و تحلیل کرد، مشخص شد که افزونهها حاوی فایل class.plugin-modules.php هستند. همچنین این فایل حاوی یک کد مخرب و رشتههای مختلف رمزنگاری شده با پایه 64 است که معمولاً با افزونههای WP-VCD همراه هستند.
پس از نصب افزونه، از کد PHP رمزنگاری شده با پایه 64 در متغیر WP_CD_CODE که در بالا نشان داده شد استفاده کرده و آن را در /wp-includes/wp-vcd.php ذخیره میکند. سپس کد را به فایل /wp-includes/post.php اضافه میکند؛ به طوری که با هر بار بارگذاری صفحه در سایت، به طور خودکار wp-vcd.php بارگیری شود.
همچنین افزونه کلیه themeهای نصب شده را جستجو کرده و به هر فایل theme functions.php کد PHP رمزنگاری شده با پایه 64 دیگر اضافه میکند.
با این تغیرات فایل، کد WP-VCD مجدداً به سرور C2 متصل میشود تا دستوراتی را برای اجرا در host وردپرس دریافت کند. این دستورات عموماً برای تزریق کدی که تبلیغات مخرب را روی سایت نمایش میدهد یا به سایتهای دیگر تغییر مسیر انجام میدهد، استفاده میشوند.
2 محافظت از سایت در برابر WP-VCD
همانطور که بدافزار WP-VCD توسط افزونههای غیرمجاز وردپرس منتشر میشود، بهترین راه جلوگیری از آن این است که از سایتهای غیرمجاز افزونه بارگیری نشود. از آنجا که افزونهها میتوانند به راحتی توسط هر کسی که دارای دانش کمی PHP است اصلاح شوند، بارگیری و نصب افزونههای غیرمجاز همیشه یک فعالیت خطرناک است. اکیداً توصیه میشود که افزونههای وردپرس فقط از سایتهای مجاز نصب شود و هیچ افزونه غیرمجاز نصب نشود زیرا به خطر افتادن سایت احتمال بالایی دارد.
- 69