Een nieuwe malwarecampagne richt zich op WordPress-websites door gebruik te maken van een kwaadaardige plugin die zich voordoet als een beveiligingstool. Deze plugin misleidt gebruikers zodat zij de tool installeren en vertrouwen.
Onderzoekers van Wordfence ontdekten dat de malware aanvallers blijvende toegang geeft, op afstand code kan uitvoeren en JavaScript op pagina’s kan injecteren. De plugin verbergt zich tegelijkertijd in het systeem, waardoor hij niet zichtbaar is in het plugin-overzicht en zo detectie ontwijkt.
De malware werd eind januari 2025 voor het eerst opgemerkt tijdens het opschonen van een geïnfecteerde website. Daarbij werd een aangepaste versie van het bestand wp-cron.php aangetroffen. Dit bestand maakt automatisch een kwaadaardige plugin aan met de naam WP-antymalwary-bot.php en activeert deze ook.
Meerdere pluginbestanden
De campagne maakt ook gebruik van andere pluginbestanden met namen zoals addons.php, wpconsole.php, wp-performance-booster.php en scr.php.
Zelfs als een beheerder de plugin verwijdert, zal het wp-cron.php-bestand deze automatisch opnieuw aanmaken en activeren bij een volgend bezoek aan de site.
Doordat serverlogs ontbreken, is het exacte pad van besmetting lastig vast te stellen. Wordfence vermoedt dat de infectie plaatsvindt via een gecompromitteerd hostingaccount of gestolen FTP-inloggegevens.
Link met Cyprus
Over de verantwoordelijken is weinig bekend. Wel bevindt de command & control-server zich op Cyprus, en vertoont de aanval kenmerken die doen denken aan een supply chain-aanval van juni 2024.
Na activatie controleert de plugin eerst zijn eigen status en geeft de aanvaller vervolgens beheerdersrechten. Volgens Wordfence gebeurt dit via een functie die het mogelijk maakt om toegang tot het beheerdersdashboard te krijgen als een bepaald wachtwoord wordt ingevoerd via een specifieke URL-parameter. De plugin haalt dan een beheerdersaccount uit de database en logt de aanvaller als die gebruiker in.
Vervolgens stelt de plugin een speciaal REST API-kanaal in waarvoor geen authenticatie nodig is. Hiermee kan willekeurige PHP-code worden ingevoegd in de header.php-bestanden van actieve thema’s, caches van plugins worden geleegd en aanvullende opdrachten worden verwerkt via POST-parameters.
Een recentere versie van de malware is bovendien in staat JavaScript in base64-formaat te decoderen en in de <head>-sectie van de website in te voegen. Vermoedelijk gebeurt dit om advertenties, spam of malafide doorverwijzingen aan bezoekers te tonen.
Let op serverlogs
Naast het controleren op verdachte pluginbestanden, wordt websitebeheerders aangeraden hun wp-cron.php- en header.php-bestanden te controleren op ongewenste aanpassingen. Ook serverlogs met vermeldingen van emergency_login, check_plugin, urlchange of key kunnen wijzen op een besmetting en verdienen nadere inspectie.