WordPress: scoperta backdoor camuffata da plugin di caching

Gli analisti del team di sicurezza Defiant (creatori del celebre plugin di Wordfence) hanno scoperto un nuovo malware su WordPress, presentato come un normale plugin di caching. Questa minaccia consente di creare account amministratore non autorizzati, in modo che gli hacker possano prendere il controllo dell’intero sito. Si tratta in particolare di una backdoor con diverse funzionalità che consentono al malware di gestire i plugin, sostituire contenuti o reindirizzare gli utenti verso altri contenuti dannosi. La backdoor è stata scoperta lo scorso luglio, durante la pulizia di un sito web. Come dichiarato dal team di Defiant in un post sul proprio blog ufficiale: “Nel loro insieme, queste funzionalità forniscono agli aggressori tutto ciò di cui hanno bisogno per controllare e monetizzare da remoto un sito vittima, a scapito del posizionamento SEO del sito stesso e della privacy dell'utente”.

Come funziona il nuovo malware di WordPress

L’analisi del malware da parte dei ricercatori ha mostrato come questo contenesse “un commento di apertura dall’aspetto professionale”, proprio per imitare un plugin di caching legittimo. La scelta di utilizzare questo aspetto non è casuale, poiché utile a passare inosservato anche durante le ispezioni manuali. Inoltre, il plugin dannoso si nasconde di default dall’elenco dei “plugin attivi”, in modo da eludere meglio i controlli. Come accennato, il malware comprende diverse funzionalità. La prima è la creazione di utenti dannosi. Ciò significa che il malware è capace di generare un account “superadmin” sul sito web compromesso, con autorizzazioni di livello amministratore. Inoltre, può anche rimuoverlo per eliminarne ogni traccia. L’altra funzionalità riguarda il rilevamento dei bot. Quando i visitatori venivano identificati come bot (ad esempio, crawler dei motori di ricerca), il malware forniva loro contenuti diversi, come spam, inducendoli a indicizzare il sito compromesso per contenuti dannosi.

La backdoor può anche alterare i contenuti dei siti compromessi, inserendo pulsanti o collegamenti spam. Inoltre, può anche attivare o disattivare i plugin WordPress da remoto, cancellando ogni tipo traccia. Infine, il malware verifica la presenza di stringe specifiche dell’user agent, consentendo agli operatori di controllare in remoto alcune funzioni dannose che corrispondono a scenari particolari. Al momento Defiant non ha fornito dettagli sul numero dei siti web WordPress compromessi dal nuovo malware. Per evitare problemi di questo tipo è tuttavia consigliato di mantenere aggiornati i propri temi e plugin, utilizzare password efficaci, eliminare file inutilizzati e analizzare periodicamente il proprio sito web per essere sicuri che non vi siano attività sospette.