Si antes vimos cómo el popular CCleaner era usado para instalar spyware mediante una puerta trasera, los investigadores de Sucuri han descubierto otra en un plugin de WordPress creado presuntamente para reforzar la seguridad del CMS, X-WP-SPAM-SHIELD-PRO.

X-WP-SPAM-SHIELD-PRO es un plugin que nunca ha estado en los repositorios oficiales de WordPress y ha intentado aprovecharse de la buena reputación de WP-SpamShield Anti-Spam, utilizado para el filtrado del spam, con el fin engañar a usuarios incautos y hacer que lo añadieran a sus instalaciones del mencionado CMS.

El ciberdelincuente no solo ha intentado aprovecharse de forma ilegítima de la reputación de otro plugin, sino que además ha introducido una puerta trasera construida mediante PHP, el conocido lenguaje de programación para la creación páginas web dinámicas a nivel de servidor. Dicha puerta trasera crea una cuenta de administrador, permitiendo al atacante subir ficheros al servidor, inhabilitar plugins y más cosas.

El comportamiento malicioso de X-WP-SPAM-SHIELD-PRO está esparcido en diversos ficheros PHP, que son los siguientes:

• class-social-facebook.php: Presuntamente es una herramienta de protección contra el spam que llega a través de los medios sociales, pero en realidad su código envía una lista de usuarios al atacante y permite la desactivación de todos los plugins. El hecho de poder inhabilitar plugins podría inhabilitar características de seguridad.
• class-term-metabox-formatter.php: Envía la versión de WordPress utilizada al atacante.
• class-admin-user-profile.php: Envía al atacante una lista de todos los usuarios de tipo administrador de la instalación del WordPress.
• plugin-header.php: Añade un usuario tipo administrador adicional llamado mw01main, así que si un administrador o mantenedor lo ve en una instalación del CMS, muy posiblemente es que se haya instalado el plugin X-WP-SPAM-SHIELD-PRO con su correspondiente backdoor.
• wp-spam-shield-pro.php: realiza ping hacia el servidor del hacker ubicado en mainwall.org. Esto le permite saber cuando una nueva víctima ha instalado el plugin malicioso. También envía datos como el usuario, la contraseña, la URL y la IP del servidor infectado. Además, incluye un código que permite al ciberdelincuente subir un fichero ZIP, descomprimirlo y luego ejecutar los ficheros contenidos en su interior en la instalación de WordPress.

Como curiosidad, el fichero ZIP suministrado al servidor de la víctima en el ataque está corrupto, por lo que los investigadores creen que puede tratarse de una versión adulterada del plugin All In One SEO Pack.

Como medida de precaución, desde WordPress recomiendan encarecidamente instalar los plugins solo desde sus repositorios oficiales, evitando sitios web de terceros que podrían estar siendo utilizados con fines maliciosos.

Fuente: BleepingComputer