Новый вредоносный код маскируется под плагин антивируса на WordPress

Новый вредоносный код WordPress, маскирующийся под антивирусный плагин, предоставляет злоумышленникам удаленный доступ, в то время как Wordfence выпускает обновленные меры безопасности.

Был обнаружен новый вариант вредоносного программного обеспечения на сайтах WordPress, маскирующийся под легитимный плагин антивируса. Этот вредоносный код, идентифицированный аналитиками безопасности Wordfence как «WP-antymalwary-bot.php», позволяет злоумышленникам получить доступ к панели управления сайта, оставаясь незаметными для административного просмотра, и, в результате, обеспечивает удаленное выполнение вредоносного кода.

Вредоносное ПО было впервые обнаружено Wordfence 22 января 2025 года во время рутинной очистки сайта. Плагин функционирует как обычный инструмент WordPress, но содержит команду бэкэнда, которая позволяет злоумышленникам выполнять вход в систему под администратором.

Вредоносное ПО поддерживает связь с сервером Command & Control (C&C), позволяя злоумышленникам отправлять удаленные команды. Он также позволяет злоумышленникам распространять вредоносное ПО, добавляя вредоносный код JavaScript в другие каталоги.

Чтобы усугубить ситуацию, Wordfence сообщает, что вредоносное ПО скрывает себя в списке плагинов WordPress, что затрудняет его обнаружение владельцами веб-сайтов. Оно также использует планировщик заданий WordPress для поддержания своего присутствия на сайте. Это означает, что если вредоносный плагин будет удален, вредоносное ПО может просто снова появиться после того, как сайт будет снова посещен.

Вредоносное ПО также связывается с сервером на Кипре, передавая информацию и, возможно, получая дальнейшие инструкции. Wordfence сообщает, что продолжают появляться новые версии вредоносного ПО, включая одну, которая планирует регулярные события, чтобы поддерживать атаку.

Эксперты рекомендуют пользователям WordPress оставаться бдительными и обновлять свои плагины безопасности.