WordPressに新たな管理者アカウントを作成してサイトを乗っ取るマルウェアが出現

WordPress向けセキュリティプラグイン・Wordfenceを開発しているDefiantが、本物のWordPressプラグインを装いつつさまざまなタスクを実行できる、高度なバックドアとして機能するマルウェアの存在を明らかにしています。

Backdoor Masquerading as Legitimate Plugin
https://www.wordfence.com/blog/2023/10/backdoor-masquerading-as-legitimate-plugin/

New WordPress backdoor creates rogue admin to hijack websites
https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to-hijack-websites/

当該マルウェアの機能の1つ目は「ユーザーの作成」。ハードコードされたパスワードと管理者レベル権限を持つ「superadmin」というユーザーを作成することができます。また、サイトの乗っ取りに成功したあとはマルウェア感染の痕跡を消すため、「superadmin」を削除して検出の可能性を下げる機能も搭載しています。

2つ目は「ボット検出」。訪問者が検索エンジンのクローラーなどのボットであると認識すると、スパムなどのコンテンツを提供して、悪意あるコンテンツのインデックスを生成させます。サイト管理者から見ると、突然トラフィックが増加したり、「危険なサイトにリダイレクトされる」という苦情が届いたりすることになります。

3つ目は「コンテンツの置き換え」。WordPressで投稿ページに免責事項を追加したり、他のコンテンツやページを挿入したりするときに用いる関数を悪用して、ログイン中のユーザーが管理者ではないときに、スパムへのリンクやボタンを追加します。

4つ目は「プラグイン制御」。任意のWordPressプラグインをリモートで有効化・無効化することができます。なお、マルウェア感染の痕跡を消すため、アクティビティは隠されます。

5つ目は「リモート呼び出し」。特定のユーザーエージェント文字列をチェックして、攻撃者がさまざまな悪意ある機能をリモートでアクティブ化できるようにします。

これらの機能を活用することで、攻撃者は乗っ取ったサイトのSEOランクやユーザーのプライバシーを犠牲にしつつ、サイトを遠隔制御して収益化に必要なすべてのものを吸い上げるとのこと。

Defiantは当該マルウェアに感染したサイトの数を明らかにしていませんが、Wordfence無料版ユーザー向けに検出シグネチャを提供。また、有料版ユーザー向けにはユーザーをバックドアから保護するファイアウォールルールを追加したとのことです。