Бэкдор в версии 0.9.8.8 плагина Custom Content Type Manager (CCTM) для WordPress был выявлен специалистами компании Sucuri. Благодаря данному бэкдору, злоумышленники могут компрометировать учетную информацию пользователей инфицированных сайтов.
Эксперты проверили один из зараженных WordPress-сайтов и нашли подозрительный файл auto-update.php. Оказалось, что auto-update.php – это бэкдор, позволяющий осуществлять загрузку дополнительных файлов с удаленного сервера.
CCTM присутствует в директории плагинов на сайте WordPress на протяжении 3 лет, однако в течение последних 10 месяцев плагин не обновлялся. Недавно у данного проекта сменился владелец, в результате чего было осуществлено немедленное обновление плагина до версии 0.9.8.8. Новый хозяин CCTM – разработчик, который известен как wooranker, привнес свои изменения. Так, был добавлен файл CCTM_Communicator.php, который сообщал о каждом новом сайте, в котором использовалась вредоносная версия плагина. Также CCTM начал осуществлять на зараженном сайте перехват логинов и паролей, передавая их в зашифрованном виде на wordpresscore.com.
Пользуясь похищенными логинами и паролями, wooranker предпринимал безуспешные попытки авторизоваться на зараженных сайтах. Вскоре владелец CCTM сменил тактику и добавил функционал редактирования файлов. В результате у хакера появилась возможность перехвата логинов и паролей до их шифрования. Кроме того, wooranker начал создавать на инфицированных сайтах новый аккаунт с правами администратора (support/ support@wordpresscore.com).
Специалисты советуют всем администраторам, которые пользуются данным плагином, осуществить обновление до безопасной версии 0.9.8.9.