Эксперты Sucuri обнаружили, что популярный среди пользователей плагин CCTM (Custom Content Type Manager) для платформы WordPress содержит бэкдор, позволяющий злоумышленнику похищать учетные данные с зараженных интернет-ресурсов. Специалисты отметили, что модуль установили более 10 тысяч раз.
Расследование было начато после жалобы клиента компании, который обратил внимание на появление подозрительного файла auto-update.php (ранее он отсутствовал).
В процессе расследования выяснилось, что почти год проект CCTM был практически заброшен, однако недавно разработку приобрел неизвестный пользователь с ником wooranker. Плагин был обновлен до версии с кодом 0.9.8.8, однако позднее оказалось, что обновление заключалось во внедрении вредоносного кода. Кроме вышеупомянутого подозрительного файла, плагин получил функцию загрузки дополнительных файлов с внешнего узла. Также появился файл CCTM_Communicator.php, отправляющий на сервер злоумышленника информацию об атаке на новую жертву. Основной же функционал CCTM заключается в перехвате паролей и логинов на зараженном ресурсе (в зашифрованном виде). Собранная информация отправляется на wordpresscore.com.
После накопления учетных записей wooranker начал пытаться авторизоваться на атакованных сайтах. Во многих случаях это не удавалось, поскольку пользователи меняли адрес входа в панель управления. Тогда новый обладатель CCTM сменил тактику: были добавлены функции редактирования файлов user-edit.php, user-new.php и wp-login.php.
Новый функционал предоставил возможность перехватывать важную информацию (включая пару пароль/логин) до шифрования, а также позволял узнать точный адрес панели управления. Злоумышленник также решил подстраховаться и создавал на взломанных сайтах дополнительный аккаунт, который имел права администратора и позволял гарантировать доступ.
Всем администраторам, которые используют данный компонент, специалисты рекомендуют удалить вредоносную версию и вернуть основные файлы WordPress к стандартным версиям. Если присутствует необходимость все же использовать данный плагин, стоит использовать более раннюю версию по номером 0.9.8.6, которая является безопасной.