PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Aktor penjahat siber di balik malware WordPress WP-VCD telah mulai mendistribusikan versi modifikasi dari plugin virus corona yang menginjeksikan backdoor ke situs web.

Varian WP-VCD didistribusikan sebagai plugin WordPress nulled, atau bajakan, yang berisi kode hasil modifikasi yang menginjeksikan backdoor serta berbagai file PHP ke setiap tema yang diinstal di blog/website.

Setelah situs WordPress terpasang WP-VCD, malware akan berusaha untuk menyusupi situs lain pada host yang sama (biasa dikenal dengan share hosting) dan secara rutin akan terhubung kembali ke server command-and-control agar bisa menerima instruksi baru untuk dieksekusi.

Tujuan akhir dari plugins mencurigakan ini adalah menggunakan situs WordPress yang berhasil disusupi untuk menampilkan pop-up atau melakukan pengalihan yang menghasilkan pendapatan untuk aktor penjahat siber.

Plugin Virus Corona bajakan menyebarkan WP-VCD

Baru-baru ini MalwareHunterTeam membagikan beberapa contoh plugin WordPress yang ditandai pada VirusTotal sebagai ‘Trojan.WordPress.Backdoor.A’.

Plugin WordPress ini dan satu lagi yang kami temukan adalah file zip yang tampaknya merupakan plugin komersial yang sah bernama “COVID-19 Coronavirus – Live Map WordPress Plugin“, “Coronavirus Spread Prediction Graphs“, dan “Covid-19“.


Setelah plugin terinstal, itu akan mengambil kode PHP base64 dalam variabel WP_CD_CODE yang ditunjukkan di atas dan menyimpannya ke file /wp-includes/wp-vcd.php.

Ini kemudian menambahkan kode ke file /wp-includes/post.php sehingga secara otomatis memuat wp-vcd.php setiap kali halaman situs dimuat.

Plugin juga akan mencari semua tema yang diinstal dan menambahkan kode PHP base64 lain ke masing-masing file functions.php tema.

Dengan modifikasi file ini, kode WP-VCD sekarang akan terhubung kembali ke server C2 agar bisa menerima perintah untuk dieksekusi di host WordPress.

Perintah-perintah ini biasanya akan digunakan untuk menginjeksikan kode yang menampilkan iklan berbahaya di situs atau melakukan pengalihan ke situs lain.

Melindungi situs WordPress dari WP-VCD

Karena malware WP-VCD menyebar melalui plugin WordPress bajakan, cara terbaik untuk menghindari situs terinfeksi adalah dengan tidak mengunduh plugin apa pun dari situs yang tidak sah.

Karena plugin mudah dimodifikasi oleh siapa saja dengan sedikit pengetahuan PHP, mengunduh dan menginstal plugin bajakan akan selalu berisiko.

Dalam hal ini, kami melihat peningkatan besar dalam peluncuran serangan yang mengambil keuntungan dari pandemi virus corona untuk mendistribusikan malware dan serangan phishing.

Sangat disarankan agar kamu hanya memasang plugin WordPress dari situs yang diotorisasi dan jangan memasang plugin bajakan karena ada kemungkinan besar situs akan disusupi oleh aktor penjahat siber.


administrator

Just a simple person who like photography, videography, code, and cyber security enthusiast.