Peneliti cybersecurity telah menjelaskan kampanye baru yang menargetkan situs WordPress yang menyamarkan malware sebagai plugin keamanan.
Plugin, yang sesuai dengan nama “WP-Antymalwary-Bot.php,” dilengkapi dengan berbagai fitur untuk mempertahankan akses, menyembunyikan dirinya dari dasbor admin, dan menjalankan kode jarak jauh.
“Fungsionalitas ping yang dapat melaporkan kembali ke server perintah-dan-kontrol (C&C) juga disertakan, seperti kode yang membantu menyebarkan malware ke direktori lain dan menyuntikkan javascript berbahaya yang bertanggung jawab untuk melayani iklan,” kata Marco Wotschka dari Wordfence dalam sebuah laporan.
Pertama kali ditemukan selama upaya pembersihan situs pada akhir Januari 2025, malware telah terdeteksi di alam liar dengan varian baru. Beberapa nama lain yang digunakan untuk plugin tercantum di bawah ini –
- addons.php
- wpconsole.php
- wp-performance-booster.php
- scr.php
Setelah diinstal dan diaktifkan, ini memberikan akses administrator aktor ancaman ke dasbor dan memanfaatkan API REST untuk memfasilitasi eksekusi kode jarak jauh dengan menyuntikkan kode PHP berbahaya ke dalam file header tema situs atau membersihkan cache plugin caching populer.
Iterasi baru dari malware mencakup perubahan penting pada suntikan kode cara ditangani, mengambil kode JavaScript yang dihosting pada domain lain yang dikompromikan untuk melayani iklan atau spam.
Plugin ini juga dilengkapi dengan file wp-cron.php yang berbahaya, yang menciptakan kembali dan mengaktifkan kembali malware secara otomatis pada kunjungan situs berikutnya jika dihapus dari direktori plugin.
Saat ini tidak jelas bagaimana situs -situs tersebut dilanggar untuk mengirimkan malware atau siapa yang berada di belakang kampanye. Namun, kehadiran komentar dan pesan bahasa Rusia kemungkinan menunjukkan bahwa aktor ancaman berbahasa Rusia.
Pengungkapan itu datang sebagai Sucuri merinci kampanye skimmer web yang menggunakan domain font palsu bernama “Italicfonts[.]org “Untuk menampilkan formulir pembayaran palsu di halaman checkout, mencuri informasi yang dimasukkan, dan mengekspam data ke server penyerang.
“Serangan carding multi-tahap” lainnya yang diperiksa oleh perusahaan keamanan situs web melibatkan penargetan portal e-commerce Magento dengan malware JavaScript yang dirancang untuk memanen berbagai informasi sensitif.
“Malware ini memanfaatkan file gambar GIF palsu, data Sesi Browser Lokal, dan dirusak dengan lalu lintas situs web menggunakan server proxy terbalik berbahaya untuk memfasilitasi pencurian data kartu kredit, detail login, cookie, dan data sensitif lainnya dari situs web yang dikompromikan,” kata peneliti keamanan Ben Martin.
File GIF, pada kenyataannya, adalah skrip PHP yang bertindak sebagai proxy terbalik dengan menangkap permintaan yang masuk dan menggunakannya untuk mengumpulkan informasi yang diperlukan ketika pengunjung situs mendarat di halaman checkout.
Musuh juga telah diamati menyuntikkan kode Google AdSense ke setidaknya 17 situs WordPress di berbagai tempat dengan tujuan memberikan iklan yang tidak diinginkan dan menghasilkan pendapatan berdasarkan per-klik atau per-impresi.
“Mereka mencoba menggunakan sumber daya situs Anda untuk terus melayani iklan, dan lebih buruk lagi, mereka bisa mencuri pendapatan iklan Anda jika Anda menggunakan Adsense sendiri,” kata peneliti keamanan Puja Srivastava. “Dengan menyuntikkan kode Google AdSense mereka sendiri, mereka dibayar, bukan Anda.”
Bukan itu saja. Verifikasi CAPTCHA Deceptive yang disajikan di situs web yang dikompromikan telah ditemukan untuk menipu pengguna agar mengunduh dan mengeksekusi pintu belakang yang berbasis Node.js yang mengumpulkan informasi sistem, memberikan akses jarak jauh, dan menggunakan node.js akses jarak jauh Trojan (RAT), yang dirancang untuk melakukan tunnel lalu lintas jahat melalui proksi Socks5.
Kegiatan ini telah disebabkan oleh SpiderLabs gelombang kepercayaan dengan sistem distribusi lalu lintas (TDS) yang disebut KongTuke (alias 404 TDS, Chaya_002, LandUpdate808, dan TAG-124).
“Skrip JS yang, dijatuhkan di pasca-infeksi, dirancang sebagai pintu belakang multi-fungsi yang mampu melakukan pengintaian sistem terperinci, melaksanakan perintah jarak jauh, lalu lintas jaringan tunneling (proxy Socks5), dan mempertahankan tertutup, akses yang terus-menerus,” kata peneliti keamanan Reegun Jayapaul.
