Un ciber-criminal ha ocultado un Backdoor PHP dentro del código fuente de un plugin de WordPress hace pasar por una herramienta de seguridad llamado X-WP-SPAM-SHIELD-PRO.
El atacante trato de aprovechar la reputación de un WordPress legítima y muy popular plugin llamado "WP-SpamShield Anti-Spam," una herramienta anti-spam popular para los sitios de WordPress.En su lugar, los usuarios que descargaron X-WP-SPAM-SHIELD-PRO consiguieron una sorpresa desagradable en forma de una puerta trasera que permitía al atacante crear su propia cuenta de administrador en el sitio, subir archivos en los servidores de la víctima, desactivar todos los plugins, y más.
Todo el comportamiento malicioso se repartió en los archivos del plugin falso. Por ejemplo:- class-social-facebook.php: Se hace pasar por una herramienta de protección contra el spam medios de comunicación social, pero el código que se encuentra dentro envía una lista de lista de plugins del usuario para el atacante y desactiva opcionalmente todos los plugins. La razón para desactivar todos los plugins es apagar cualquier otro plugins centrados en la seguridad que bloquean el acceso a funciones o iniciar sesión detectarían los inicios de sesión no autorizados de los hackers.
- class-term-metabox-formatter.php: Envía la versión de WordPress del usuario para el atacante.
- class-admin-user-profile.php: Envía una lista de todos los usuarios de administración de WordPress para el atacante.
- plugin-header.php: Agrega un usuario administrador adicional denominado mw01main.
- wp-spam-escudo-pro.php: Pings al servidor del hacker encuentra en mainwall.org, dejando que el atacante sabe cuando un nuevo usuario instala el plugin falso. Los datos de este archivo envía a través incluye usuario, contraseña, URL del sitio infectado, y la dirección IP del servidor.
- Este último archivo también incluye código para permitir al atacante cargar un archivo ZIP en el lugar de la víctima, descomprimir, y luego ejecutar los archivos dentro.
Segun Sucuri, la empresa de seguridad cibernética que descubrió X-WP-SPAM-SHIELD-PRO, el plugin nunca lo hizo en el repositorio oficial de WordPress plugins, siendo puesto a disposición a través de otras fuentes.
En general, el plugin atrae a usuarios preocuparos por la seguridad de su sitio, pero en realidad, es su caída.
Al igual que con la aplicación Google Play Store, la tienda de aplicaciones de Apple, y otras tiendas oficiales, los usuarios de WordPress se aconseja instalar plugins gratuitos de sólo el repositorio oficial de plugins. Mientras que el repositorio de plugins de WordPress y sus administradores están lejos de ser perfecto, los plugins que se ofrecen para descargar son generalmente vigiladas por la comunidad, que a menudo se detecta e informa de la mayoría de estas amenazas en tiempo.
Fecha actualización el 2021-01-13. Fecha publicación el 2017-9-29. Categoría: Wordpress. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer