Вредоносный плагин для WordPress: защита по ту сторону зла
Исследователи по безопасности обнаружили вредоносный плагин для WordPress, выдающий себя за средство противодействия вредоносному ПО. В конце апреля Марко Вотшла из команды Wordfence опубликовал новый блог, детально рассказывая об "интересном вредоносном ПО для WordPress": оно появляется в файловой системе как обычный плагин для WordPress, часто с именем ‘WP-antymalwary-bot.php’.
Хотя на первый взгляд он может показаться безобидным, исследователи обнаружили, что этот плагин содержит несколько функций, позволяющих злоумышленникам оставаться на целевом сайте, скрывать плагин от панели управления и удаленно исполнять код.
«Функциональность пинга, которая может сообщать на сервер командования и управления (C&C), также включена, как и код, который помогает распространять вредоносное ПО по другим директориям и внедрять вредоносный JavaScript, ответственный за показ рекламы», — пояснил Вотшла.
Wordfence впервые обнаружил вредоносный плагин во время очистки сайта в январе 2025 года, когда они нашли измененный файл ‘wp-cron.php’. Он создал и программно активировал вредоносное ПО, которое также использовало названия «addons.php», «wpconsole.php», «wp-performance-booster.php» и «scr.php».
Если администратор сайта удаляет плагин, wp-cron автоматически воссоздает и активирует его снова.
Wordfence не смог определить, кто стоит за этими атаками, или как им удалось скомпрометировать эти сайты. Логов для анализа не было, поэтому исследователи предположили, что инфицирование произошло либо через скомпрометированную учетную запись хостинга, либо через FTP-учетные данные. Они также установили, что сервер C2 находится на Кипре, и что похожая атака уже была зафиксирована в июне 2024 года.
Еще одна интересная особенность этого вредоносного ПО заключается в явном использовании генеративного искусственного интеллекта (ИИ) при написании кода. Интересно не столько использование ИИ как такового, сколько тот факт, что ИИ помогает злоумышленникам создавать «более правдоподобно выглядящее вредоносное ПО».
Безусловно, исследователи глубоко анализируют загадочный мир технологий, где киберпреступления активно шьют на заказ. В очередной раз они обнаружили настоящую жемчужину — вредоносный плагин для WordPress, который сам себя выдает за анти-вредоносное программное обеспечение. Стоп-стоп, неужели это фейковое программирование стало таким популярным, что за ним строятся целые карьеры, основываясь на некомпетентности пользователей и их злостном нежелании читать инструкции?
Марко Вотшла из Wordfence — не кто иной, как мститель в мире киберзащиты. Он, разумеется, крутит педали на своем велосипеде к успеху, вызывая страх у администраторов сайтов и радость у рекламодателей. Как удобно, что злоумышленники используют ИИ для создания «правдоподобного» зла, будто бы вступая в симбиоз с своей вредоносной натурой. Наверное, ИИ, наконец, нашел применение в реальном мире — в нарушении всех правил безопасности!
Первая находка произошла во время «уборочной» акции в начале 2025 года, когда, в несчастный момент, исследователи повстречали файл ‘wp-cron.php’, который явно возомнил себя маленьким Цербером. Он не только прозябает на сервере, но также создает свои копии, скачивая мир на коленях у администраторов, выбрасывающих плагины, как грязный тряпку. Нередко бывает, что бороться со злом лишь в костюме сертифицированного киберзащитника недостаточно — нужны настоящие навыки прыгать в горящие здания.
Тайна остается неразгаданной — кто же ставит эти подделки и как им удается проникать на сайт? Говорят, что в играх высшего уровня королями становятся не те, кто удачно расставляет фигуры, а те, кто умеет обманывать остальных. Использовать ли для доступа к сайту «скомпрометированные учетные записи» или «FTP-данные» — вот вопрос для кибер-Шерлоков. И как же коварно, что сервер C2 расположился на Кипре, словно киберагрессор загорал на пляже, в то время как его код мешает вести бизнес.
Так или иначе, мы все находимся в одной лодке с озорными «разработчиками», которые перевернули мир программирования с ног на голову. Где-то там, в тени, улыбка растет на лице воплощенного зла, а высокотехнологичные лоббисты уже мечтают о новых 'безопасных' решениях, которые, конечно же, им подкинут в будущем — покуда не вернется кибердетектив в чёрном плаще.