安全廠商發現一隻名為WP-VCD的後門程式,近日借盜版外掛程式在網路快速散佈,而其超強感染力,也成為WordPress網站近來最主要威脅。
Wordfence近日觀察到WP-VCD近幾周積極鎖定WordPress網站感染。研究人員指出,這隻木馬程式也是今年8月以來感染WordPress的惡意程式中,感染率最高的,而且這波攻擊迄今仍然沒有降速跡象。
研究人員指出,WP-VCD的程式碼及功能經過多重演化,不過主要獲利模式都是靠搜尋引擎最佳化(SEO)技倆,以名列搜尋引擎結果頁最上方,或是在網站中注入惡意廣告程式碼,藉網站重導向或彈出式廣告,將用戶導到這些網站下載而散佈。
在最近這波攻擊中,WP-VCD藏在盜版佈景主題及外掛程式中散佈。它是來自一群號稱可免費下載知名外掛程式及佈景主題的盜版網站,研究人員相信這些網站都是WP-VCD作者所經營,吸引網站開發人員下載,包括www.download-freethemes.download、www.nulledzip.download、www.themesfreedownload.top等。
一旦感染WordPress網站,WP-VCD將進行多重危害。首先它會以100010010為名建立後門程式帳號,方便駭客存取WordPress網站。其次,如果WordPress管理員試用了盜版佈景主題,這隻後門程式會感染網站上所有佈景主題,如果他沒試用,WP-VCD程式碼還是能在其他佈景主題中執行。第三,若這個WordPress網站是代管在某個公有雲或資料中心機器上,則WP-VCD還會散佈到底層伺服器,藉此感染同一台伺服器上的其他無辜網站。
駭客藉由感染眾多伺服器建構殭屍電腦網路,而在背景運作下WP-VCD會將這些受感染機器與外部C&C伺服器建立連線,聽候駭客日後發動指令。
安全公司也在白皮書中分享了YARA Rules,協助企業及網站管理員偵測WP-VCD。