No dia 8 de fevereiro de 2018, percebemos uma nova onda de infecções em sites WordPress envolvendo dois plugins maliciosos: injectbody e injectscr. Esses plugins injetam scripts ofuscados, criando pop-up/pop-unders indesejados. Sempre que um visitante clica em qualquer lugar em uma página infectada, vêem anúncios questionáveis.

Local do Plugin

Os plugins maliciosos possuem uma estrutura de arquivo muito semelhante:

Injectbody

wp-content/plugins/injectbody/

  • injectbody.php: 2146 bytes (the plugin code)
  • inject.txt: 2006 bytes (injected JavaScript)

Injectscr

wp-content/plugins/injectscr/

  • injectscr.php: 1319 bytes (the plugin code)
  • inject.txt: 3906 bytes (injected JavaScript)

A funcionalidade desses plugins também é muito similar. Como seus nomes implicam, eles injetam um script a partir do inject.txt e escondem sua presença na lista de plugins no painel do WordPress.

omo você pode ver, ambos os plugins incluem funções para ocultar sua existência:
injectscr_hide e injectbody_hide. Essas funções removem os plugins maliciosos da lista de plugins ativos. Apenas os hackers podem detectar a presença desses plugins maliciosos em um site infectado: fazendo login no WordPress com os usuários admin mal-intencionados INJECTBODY__ADMIN ou INJECTSCR__ADMIN, ou usando credenciais de admin legítimas e adicionando os parâmetros GET “?INJECTBODY__ADMIN=1” or “?INJECTSCR__ADMIN=1” na UR.

Scripts Injetados

Uma vez que um site foi infectado, o plugin escondido injectbody começa a injetar um script ofuscado em uma página do site:

var _0xc3ce=["\x32\x20\x35\x3D\x7B\x61\x3A\x27...removed for brevity... new RegExp(_0xc3ce[7]+ _0xf262x5(_0xf262x3)+ _0xc3ce[7],_0xc3ce[8]),_0xf262x4[_0xf262x3])}};return _0xf262x1}(_0xc3ce[0],27,27,_0xc3ce[3][_0xc3ce[2]](_0xc3ce[1]),0,{}))

Adiciona um script de anúncio Viglink com a chave “ca8b3984fdf6c76dc2fe3325feb58eba” key à página.

O plugin injectscr injeta um script ofuscado similar:

var _0x3fdb=["\x39\x20\x62\x28\x6B\x29\x7B\x33\x20...removed for brevity...new RegExp(_0x3fdb[8]+ _0x3e49x5(_0x3e49x3)+ _0x3fdb[8],_0x3fdb[9]),_0x3e49x4[_0x3e49x3])}};return _0x3e49x1}(_0x3fdb[0],62,63,_0x3fdb[3][_0x3fdb[2]](_0x3fdb[1]),0,{}))

O script adiciona um handler “onclick” que abre uma janela de popup com a seguinte URL: hxxp://1aqy.xn--o1aqy[.]xn--p1ai/stats/fri.php?affid=79803 É só o primeiro passo de uma cadeia de redirecionamentos. 

Quando o pop-up é aberto, o script define o cookie “clickund_expert=1” por uma hora e remove-se do manipulador de eventos (event handler) onlick.

Análise do Log

Depois de analisar os logs de sites infectados, descobrimos que os hackers adicionaram os plugins depois de terem logado no painel do WordPress:

110.45.58.78 - - [08/Feb/2018:10:02:38 -0500]
"GET http://redacted/wp-login.php HTTP/1.1" 200 4571 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/793A"
110.45.58.78 - - [08/Feb/2018:10:02:41 -0500]
"POST http://redacted/wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/793A"
110.45.58.78 - - [08/Feb/2018:10:02:43 -0500]
"GET http://redacted/wp-admin/plugin-install.php HTTP/1.1" 200 83955 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/793A"
110.45.58.78 - - [08/Feb/2018:10:02:49 -0500]
"POST http://redacted/wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 32291 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/793A"
110.45.58.78 - - [08/Feb/2018:10:02:55 -0500]
"GET http://redacted/wp-admin/plugins.php?action=activate&plugin=injectscr%2Finjectscr.php&_wpnonce=e22822dda4 HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/793A"
217.64.111.207 - - [09/Feb/2018:02:59:18 -0500]
"GET http://redacted/wp-login.php HTTP/1.1" 200 4565 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/7003"
217.64.111.207 - - [09/Feb/2018:02:59:20 -0500]
"POST http://redacted/wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/7003"
217.64.111.207 - - [09/Feb/2018:02:59:22 -0500]
"GET http://redacted/wp-admin/plugin-install.php HTTP/1.1" 200 83025 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/7003"
217.64.111.207 - - [09/Feb/2018:02:59:26 -0500]
"POST http://redacted/wp-admin/update.php?action=upload-plugin HTTP/1.1" 200 31747 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/7003"
217.64.111.207 - - [09/Feb/2018:02:59:30 -0500]
"GET http://redacted/wp-admin/plugins.php?action=activate&plugin=injectscr%2Finjectscr.php&_wpnonce=0c451eb625 HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/7003"

É muito provável que esses pedidos de instalação de plugins sejam ​​automatizados. É preciso apenas uns 10-20 segundos para abrir a página de login e instalar e ativar completamente os plugins. Esses pedidos de instalação provêm principalmente de IPs aleatórios, mas enumeramos alguns dos endereços IP que participaram desse ataque: 95.221.199.162186.95.168.192220.79.30.571.179.244.194. Esses pedidos utilizam agentes de usuário do Firefox falsos como “Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:50.0) Gecko/20100101 Firefox/4912” e incluem versões aleatórias estranhas de 3-4 dígitos do Firefox como 4912 ou 793A – no entanto, a versão mais recente do Firefox no momento é a 58.0.1 (Firefox/58.0)

Infecções Relacionadas

Nossos pesquisadores identificaram vários sites com plugins injectbody/injectscrpreviamente infectados em janeiro com uma infecção relacionada. Esse malware enviou toneladas de emails com spam usando arquivos carregados com nomes aleatórios como “class-mailer.php”, “wp-scsys.php”, “wpn-sops.php”, “wp-sclouds.php” e outros. O ataque também criou backdoors e scripts de upload de arquivos em locais aleatórios no servidor.

Mitigação

Há várias maneiras de mitigar alguns dos riscos dessa infecção:

1. Não confie no que vê na interface de administração do WordPress, pois alguns plugins ativos podem estar escondidos de você. Inspecione o wp-content/pluginsmanualmente em busca de qualquer coisa que não deveria estar lá. Se localizado, você deve remover o wp-content/plugins/injectbody/ e o wp-content/plugins/injectscr/.

2. Os hackers entraram no WordPress para instalar os plugins. Isso significa que eles conhecem sua senha de administrador ou que criaram novos usuários de administradores, por isso é importante que você faça o seguinte:

2.1. Mude todas as senhas do WordPress (pelo menos para os admins).

2.2. Revise a lista de usuários, verifique especialmente aqueles com funções de administrador. Você deve excluir qualquer usuário com os seguintes logins: INJECTBODY__ADMIN ou INJECTSCR__ADMIN.

3. Certifique-se de que seu site não está infectado com tipos mais antigos de malware associados a esses mesmos atacantes – ou a qualquer outro malware, para esse assunto. Verifique se não há qualquer backdoor no seu site, já que também contribuem para reinfecções de sites.



Wednesday, March 14, 2018





« Back