Malware WP-VCD distribuito tramite plugin per WordPress

26/03/2020

coronavirus covid19 malware wordpress

Il Malware WordPress WP-VCD, comparso per la prima volta nel 2017, ha intrapreso una nuova campagna utilizzando un plugin modificato per il monitoraggio del Covid-19. Il plugin contiene un codice che installa una backdoor sui temi presenti sul CMS e in vari file PHP.

Secondo l’analisi effettuata da BleepingComputer, il plugin utilizza un file ‘class.plugin-modules.php‘ contenete codice dannoso e varie stringhe codificate in base64. A seguito dell’installazione il plug-in utilizzerà il codice PHP, contenuto nella variabile WP_CD_CODE e codificato in base64, e lo salverà nel file “wp-vcd.php” all’interno della cartella /wp-includes/.

 

Successivamente cercherà inoltre i temi installati sul CMS e aggiungerà il codice malevolo a ciascuno dei file.

Una volta che un sito WordPress è stato compromesso, il malware tenterà di compromettere altri siti nel caso in cui trattasi di host condiviso e si ricollegherà regolarmente al suo server di comando e controllo per ricevere nuove istruzioni da eseguire.

Lo scopo finale del codice malevolo è quello di mostrare annunci mirati o effettuare redirect verso altri domini.

Conclusioni

Il CERT-PA raccomanda di prestare la massima attenzione durante l’installazione di plug-in WordPress e di procedere scaricandoli da siti autorizzati.