Investigadores de ciberseguridad han arrojado luz sobre una nueva variedad sofisticada de malware que se hace pasar por un complemento de WordPress para crear sigilosamente cuentas de administrador y controlar de forma remota un sitio comprometido.
“Completo con un comentario inicial de aspecto profesional que implica que es un complemento de almacenamiento en caché, este código fraudulento contiene numerosas funciones, agrega filtros para evitar ser incluido en la lista de complementos activados y tiene una funcionalidad de ping que permite a un actor malicioso verificar si el El script aún está operativo, así como las capacidades de modificación de archivos”, Wordfence dicho.
El complemento también ofrece la posibilidad de activar y desactivar complementos arbitrarios en el sitio de forma remota, así como crear cuentas de administrador fraudulentas con el nombre de usuario superadmin y una contraseña codificada.
En lo que se considera un intento de borrar rastros de compromiso, presenta una función llamada “_pln_cmd_hide” que está diseñada para eliminar la cuenta de superadministrador cuando ya no es necesaria.
Algunas de las otras funciones notables del malware incluyen la capacidad de activar de forma remota varias funciones maliciosas, alterar publicaciones y contenido de páginas e inyectar enlaces o botones de spam, y hacer que los rastreadores de los motores de búsqueda indexen contenido dudoso para redirigir a los visitantes del sitio a sitios sospechosos.
“En conjunto, estas características proporcionan a los atacantes todo lo que necesitan para controlar remotamente y monetizar un sitio víctima, a expensas de las propias clasificaciones SEO del sitio y la privacidad del usuario”, dijo el investigador Marco Wotschka.
“La activación remota de complementos y la creación y eliminación de usuarios administradores, así como el filtrado de contenido condicional, permiten que esta puerta trasera evada la detección fácil por parte del usuario sin experiencia”.
Actualmente se desconoce la escala de los ataques y el vector de intrusión inicial exacto utilizado para violar los sitios.
La divulgación se produce cuando Sucuri reveló que más de 17.000 sitios web de WordPress se vieron comprometidos en el mes de septiembre de 2023 con el malware Balada Injector para agregar complementos maliciosos y crear administradores de blogs deshonestos.