Três mais plugins do WordPress encontrados escondendo um Backdoor

Plugins do WordPress está começando a mostrar sinais de podridão, já que outro incidente foi relatado envolvendo a venda de antigos plugins abandonados para novos autores que imediatamente procedem a adicionar um backdoor ao código original.

A equipe de segurança do WordPress interveio e removeu todos os plugins do Diretório oficial de plugins do WordPress. A empresa de segurança WordPress descobriu as três portas traseiras. Os detalhes sobre os três plugins backdoored estão disponíveis abaixo.

Backdoor amarrado ao mesmo ator da ameaça

O código de backdoor em todos os três plugins funciona de forma muito semelhante ao chamar para um servidor remoto e inserir conteúdo e links nos sites afetados. Os especialistas acreditam que o código de backdoor é usado para injetar spam escondido (links escondidos) em sites afetados que ajudam a melhorar o ranking do mecanismo de busca de outros sites.

Os especialistas da Wordfence acreditam que o mesmo ator está por trás dos três plugins. Eles basearam sua conclusão em uma série de descobertas que eles fizeram ao analisar os plugins maliciosos e como eles operavam:

ⴲ O código de backdoor no primeiro e terceiro plugins liga para dois domínios diferentes hospedados no mesmo endereço IP 

ⴲ A mesma empresa ( Orb Online ) pagou pela aquisição do primeiro e segundo plugins. 

ⴲ A solicitação de compra enviada por e-mail aos proprietários dos segundo e terceiro plugins usou um modelo semelhante. 

ⴲ Todos os plugins foram adquiridos por usuários recém-criados do WordPress.org. 

ⴲ O código de backdoor foi semelhante nos três plugins.

Esse tipo de incidente está se tornando comum

Esta não é a primeira vez que a Wordfence descobriu uma operação maciça para comprar plugins antigos do WordPress e adicionar uma porta traseira para injetar spam de SEO em sites que estavam usando os plugins afetados.

Anteriormente, a Wordfence amarrava o código de compra e backdoor de vários plugins para um homem do Reino Unido chamado Mason Soiza, que o Wordfence ligava às portas traseiras em plugins como Captcha (+300,000) , Display Widgets (+200,000 instalações) e 404 a 301 (70,000 instala) .

A empresa de segurança da WhitePress White Fir Design recentemente apontou que esses complementos geralmente se prolongam em sites infectados por anos. Por exemplo, três anos depois , ainda existem centenas de sites de WordPress (provavelmente abandonados) executando um dos 14 plugins que também apresentou um backdoor de injeção de spam SEO semelhante.

Fonte: BleepingComputer