Berita

Sebuah malware baru pada WordPress telah muncul, yang menciptakan akun “administrator” palsu untuk mengambil alih situs web.

Sebuah perangkat lunak berbahaya baru telah muncul, menyusup dengan menyamar sebagai plugin penyimpanan sementara yang sah/resmi, dengan tujuan menyerang situs web WordPress. Hal tersebut memungkinkan hacker untuk menciptakan akun administrator dan mengambil kendali atas operasi situs tersebut.

Malware ini beroperasi sebagai pintu belakang, memiliki berbagai fungsi yang memungkinkannya mengelola plugin, menyembunyikan keberadaannya dari daftar plugin aktif di situs yang terinfeksi, mengubah konten, dan mengalihkan pengguna tertentu ke tujuan yang berbahaya.

Deskripsi Plugin Palsu

Para analis keamanan dari Defiant, yang menciptakan plugin keamanan Wordfence untuk WordPress, menemukan perangkat lunak berbahaya ini pada bulan Juli ketika membersihkan sebuah situs web. Setelah melakukan pemeriksaan lebih lanjut terhadap pintu belakang ini, peneliti melihat bahwa malware tersebut memiliki “komentar pembukaan yang terlihat profesional” yang dirancang untuk tampak seperti alat penyimpanan sementara. Alat penyimpanan sementara biasanya digunakan untuk membantu mengurangi beban server dan meningkatkan kecepatan pengunduhan halaman.

Keputusan untuk meniru alat penyimpanan sementara semacam ini tampaknya disengaja, sehingga malware tetap tidak mencurigakan selama pemeriksaan manual. Selain itu, plugin berbahaya ini dikonfigurasi sedemikian rupa sehingga tidak termasuk dalam daftar “plugin aktif” untuk menghindari deteksi.

Malware ini memiliki kemampuan-kemampuan berikut:

  • Manipulasi pengguna – Malware ini dapat membuat pengguna dengan nama ‘superadmin’ dan kata sandi tertentu serta hak akses tingkat admin, dan juga bisa menghapus pengguna ini untuk menghilangkan jejak infeksi.
  • Identifikasi bot – Saat mendeteksi pengunjung sebagai bot, seperti pengindeks mesin pencari, malware ini menampilkan konten berbeda kepada mereka, seperti spam, yang mengakibatkan situs terinfeksi diindeks untuk konten jahat. Hal ini bisa mengakibatkan lonjakan lalu lintas tiba-tiba atau keluhan pengguna tentang dialihkan ke tujuan berbahaya.
  • Modifikasi konten – Malware ini dapat mengubah konten posting dan halaman, menyisipkan tautan atau tombol spam. Untuk menunda penemuan kompromi, administrator situs web melihat konten yang tidak diubah.
  • Pengelolaan plugin – Operator malware dapat mengaktifkan atau menonaktifkan berbagai plugin WordPress secara remote di situs yang terinfeksi dan menghapus keberadaan mereka dari database situs, menjaga tindakan mereka tersembunyi.
  • Kendali jarak jauh – Pintu belakang ini memeriksa string agen pengguna tertentu, memungkinkan penyerang untuk mengaktifkan berbagai fungsi jahat secara jarak jauh.

Menurut para peneliti, fitur-fitur ini memberikan alat kepada penyerang untuk mengendalikan dan mendapatkan keuntungan dari situs korban sambil merugikan peringkat SEO dan privasi pengguna situs.

Saat ini, Defiant belum mengungkap jumlah situs web yang terpengaruh oleh malware baru ini, dan para peneliti belum mengidentifikasi metode akses awal. Pendekatan umum untuk mengompromikan situs web meliputi mencuri kredensial, mencoba menebak kata sandi melalui metode paksa, atau mengeksploitasi kerentanan dalam plugin atau tema yang sudah ada.

Defiant telah mengeluarkan tanda tangan deteksi untuk pengguna versi Wordfence gratis dan menerapkan aturan firewall untuk melindungi pengguna Premium, Care, dan Response dari pintu belakang.

Mengingat ancaman ini, pemilik situs web disarankan untuk menggunakan kredensial admin yang kuat dan unik, menjaga plugin tetap terbaru, dan menghapus add-on dan pengguna yang tidak digunakan.

Sumber : https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to-hijack-websites/