پلاگین امنیتی جعلی در وردپرس، امکان دسترسی های ادمین از راه دور را به مهاجمان می دهد

محققان امنیت سایبری، کمپین جدیدی که سایت‌های وردپرس را مورد هدف قرار می‌دهد و بدافزار را در قالب یک افزونه امنیتی پنهان می‌کند، آشکار کرده‌اند.

این افزونه که با نام "WP-antymalwary-bot.php" شناخته می‌شود، دارای ویژگی‌های متنوعی برای حفظ دسترسی، پنهان کردن خود از داشبورد مدیر و اجرای کد از راه دور می باشد.

Marco Wotschka از Wordfence در گزارشی گفت: "قابلیت پینگ که می‌تواند به یک سرور فرمان و کنترل (C&C) گزارش دهد نیز در این افزونه گنجانده شده است، همچنین کد به گسترش بدافزار در سایر دایرکتوری‌ها و تزریق جاوا اسکریپت مخرب که مسئول نمایش تبلیغات است، کمک می‌کند."
این بدافزار که اولین بار در اواخر ژانویه 2025 کشف شد، از آن زمان تاکنون با انواع جدیدی در سطح اینترنت شناسایی شده است. برخی از نام‌های دیگر استفاده شده برای این افزونه در زیر فهرست شده‌اند :

•    addons.php
•    wpconsole.php
•    wp-performance-booster.php
•    scr.php
پس از نصب و فعال‌سازی،عوامل تهدید، دسترسی مدیر به داشبورد را دریافت می نمایند و از REST API برای تسهیل اجرای کد از راه دور از طریق تزریق کد PHP مخرب یا پاک کردن حافظه پنهان افزونه‌های ذخیره‌سازی محبوب استفاده می‌نمایند.
نسخه جدید این بدافزار شامل تغییرات قابل توجهی در نحوه مدیریت تزریق کد است که کد جاوا اسکریپت میزبانی شده در یک دامنه آسیب‌دیده دیگر را برای ارائه تبلیغات یا هرزنامه دریافت می‌نماید.
این افزونه همچنین با یک فایل wp-cron.php مخرب تکمیل می‌شود که در صورت حذف بدافزار از فهرست افزونه‌ها، آن را به طور خودکار در بازدید بعدی از سایت بازسازی و دوباره فعال می‌کند.
در حال حاضر مشخص نیست که چگونه سایت‌ها بدافزار را دریافت می کنند یا چه کسی پشت این کمپین است. با این حال، وجود نظرات و پیام‌هایی به زبان روسی احتمالاً نشان می‌دهد که عوامل تهدید، روسی زبان هستند.
این افشاگری در حالی صورت می‌گیرد که Sucuri جزئیات یک کمپین وب اسکیمر را شرح داده است که از یک دامنه فونت جعلی به نام "italicfonts[.]org" برای نمایش یک فرم پرداخت جعلی در صفحات پرداخت، سرقت اطلاعات وارد شده و ارسال داده‌ها به سرور مهاجم استفاده می‌کند.

یکی دیگر از حملات پیشرفته و چند مرحله‌ای  که توسط این شرکت امنیتی بررسی شده است، شامل هدف قرار دادن پورتال‌های تجارت الکترونیک Magento با بدافزار جاوا اسکریپت است که برای جمع‌آوری طیف وسیعی از اطلاعات حساس طراحی شده است.
Ben Martin ، محقق امنیتی، گفت: "این بدافزار از یک فایل تصویری GIF جعلی، داده‌های ذخیره شده مرورگر محلی و با استفاده از یک سرور پروکسی معکوس مخرب، ترافیک وب‌سایت را دستکاری می‌کند تا سرقت اطلاعات کارت اعتباری، جزئیات ورود به سیستم، کوکی‌ها و سایر داده‌های حساس را از وب‌سایت آسیب‌دیده تسهیل کند."
در واقع، فایل GIF یک اسکریپت PHP است که با دریافت درخواست‌های ورودی و استفاده از آن برای جمع‌آوری اطلاعات ضروری هنگام ورود بازدیدکننده سایت به صفحه پرداخت، به عنوان یک پروکسی معکوس عمل می‌نماید.
همچنین مشاهده شده است که مهاجمان با هدف ارائه تبلیغات ناخواسته و کسب درآمد با هر کلیک ، کد Google AdSense را به حداقل ۱۷ سایت وردپرس در مکان‌های مختلف تزریق می‌کنند.
Puja Srivastava ، محقق امنیتی، گفت: «آنها سعی می‌کنند از منابع سایت شما برای ادامه نمایش تبلیغات استفاده کنند و بدتر از آن، اگر خودتان از AdSense استفاده می‌کنید، می‌توانند درآمد تبلیغات شما را بدزدند.» «با تزریق کد Google AdSense خودشان، به جای شما پول دریافت می‌کنند.»

Reegun Jayapaul ، محقق امنیتی، گفت: «اسکریپت JS ،به عنوان یک در پشتی چند منظوره طراحی شده است که قادر به شناسایی دقیق سیستم، اجرای دستورات از راه دور و حفظ دسترسی پنهان و مداوم می باشد.»
منبع:
https://thehackernews.com/2025/05/fake-security-plugin-on-wordpress.html