安全厂商发现一只名为WP-VCD的后门程序,近日借盗版插件程序在网络快速传播,而其超强感染力,也成为WordPress网站近来最主要威胁。
Wordfence近日观察到WP-VCD近几周积极锁定WordPress网站感染。研究人员指出,这只木马程序也是今年8月以来感染WordPress的恶意程序中,感染率最高的,而且这波攻击迄今仍然没有降速迹象。
研究人员指出,WP-VCD的程序代码及功能经过多重演化,不过主要获利模式都是靠搜索引擎优化(SEO)技俩,以名列搜索引擎结果页最上方,或是在网站中注入恶意广告程序代码,借网站重导向或弹出式广告,将用户导到这些网站下载而传播。
在最近这波攻击中,WP-VCD藏在盗版布景主题及插件程序中传播。它是来自一群号称可免费下载知名插件程序及布景主题的盗版网站,研究人员相信这些网站都是WP-VCD作者所经营,吸引网站开发人员下载,包括www.download-freethemes.download、www.nulledzip .download、www.themesfreedownload.top等。
一旦感染WordPress网站,WP-VCD将进行多重危害。首先它会以100010010为名创建后门程序账号,方便黑客访问WordPress网站。其次,如果WordPress管理员试用了盗版布景主题,这只后门程序会感染网站上所有布景主题,如果他没试用,WP-VCD程序代码还是能在其他布景主题中执行。第三,若这个WordPress网站是托管在某个公有云或数据中心机器上,则WP-VCD还会传播到底层服务器,借此感染同一台服务器上的其他无辜网站。
黑客借由感染众多服务器构建僵尸计算机网络,而在后台运行下WP-VCD会将这些受感染机器与外部C&C服务器创建连接,听候黑客日后发动指令。
安全公司也在白皮书中分享了YARA Rules,协助企业及网站管理员侦测WP-VCD。