Malware WP-VCD do WordPress disseminado via plugins falsos envolvendo o Covid19 que implantam backdoor nos sistemas afetados.

Agentes maliciosos estão neste momento a utilizar o malware WordPress WP-VCD para distribuir plugins relativos ao Covid19 aka Coronavirus que implantam backdoors nos sistemas afetados.

O malware foi detetado pela primeira vez em julho de 2017 pelo investigador Manuel D’Orso. O investigador notou que notou que o código malicioso foi carregado por meio de uma call a partir do ficheiro wp-vcd.php e que injetou código malicioso nos ficheiros principais do WordPress, e.g., functions.php e class.wp.php.

<?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?><?php
/** 2 /**
* Core Post API

 

Os ataques deste malware continuaram evoluindo ao longo dos meses. Em novembro de 2017, investigadores da empresa Sucuri descobriram uma nova variante deste malware que injetava código malicioso nos ficheiros legítimos dos dois temas padrão “twentyfifteen” e “twentysixteen” disponíveis no WordPress CMS em 2015 e 2016.

Já em novembro de 2019, investigadores observam uma nova campanha maliciosa em curso que estava a infetar websites do WordPress com um malware chamado WP-VCD, e que injeta uma backdoor em qualquer tema instalado no website, além de também modificar diversos ficheiros PHP.

O malware WP-VCD também tenta comprometer outros websites disponíveis mesmo host partilhado. Os websites comprometidos são usados ​​para exibir pop-ups ou implementar outros mecanismos para direcionamento de tráfego.

Nestes últimos dias, investigadores da MalwareHunterTeam e BleepingComputer identificaram plugins do WordPress com o nome “COVID-19 Coronavirus – Plugin Live Map WordPress”, “Coronavirus Spread Prediction Graphs”e” Covid-19 “que partilhavam em comum, uma intenção maliciosa.

Os plugins continham um ficheiro denominado ‘class.plugin-modules.php’ que continha código malicioso e várias sequências codificadas em base64 que são associadas a plugins maliciosos do malware WP-VCD.

“These WordPress plugins and another one we found were zip files containing what appeared to be legitimate commercial plugins named “COVID-19 Coronavirus – Live Map WordPress Plugin”, Coronavirus Spread Prediction Graphs”, and “Covid-19″.” reported Bleepingcomputer.

“we found that all of these plugins contained a ‘class.plugin-modules.php‘ file that contained malicious code and various base64 encoded strings that are commonly associated with WP-VCD plugins.”

 

Depois de o plugin ser instalado no website alvo, o payload malicioso PHP codificado em base64 é adicionado na variável de contexto WP_CD_CODE e o ficheiro é guardado em /wp-includes/wp-vcd.php.

Once the plugin is installed, it will take the base64 encoded PHP code in the WP_CD_CODE variable and save it to the /wp-includes/wp-vcd.php file.

Then it prepends code to the /wp-includes/post.php file to allow the automatic load of the wp–vcd.php every time a page is loaded on the site.

 

O plugin malicioso injeta um código PHP codificado em base64 para cada ficheiro functions.php dos temas instalados.

 

Após essas alterações, o código malicioso WP-VCD comunica com o servidor C2 para receber comandos a serem executados no host agora comprometido.

 

Mitigação

Para evitar infeções via malware WP-VCD, os especialistas recomendam evitar o download de plugins do WordPress pirateados de fontes não confiáveis.

“It is strongly advised that you only install WordPress plugins from authorized sites and do not install any pirated plugins as there is a good chance your site will become compromised.” concludes Bleeping Computer.