Новый бэкдор маскируется под WordPress-плагин для кеширования

Новый бэкдор маскируется под WordPress-плагин для кеширования

Новый бэкдор маскируется под WordPress-плагин для кеширования

Новый вредонос маскируется под WordPress-плагин, якобы предназначенный для кеширования. С его помощью злоумышленники создают аккаунты администраторов и контролируют активность на атакованном ресурсе.

Упомянутый вредонос является бэкдором с набором самых разных функциональных возможностей. Он позволяет оператору не только управлять плагинами, но и прятаться на скомпрометированном сайте, а также подменять контент и перенаправлять посетителей на другие ресурсы.

Первыми на бэкдор наткнулись исследователи из Defiant, когда в июле «чистили» один из сайтов. Изучив находку, специалисты заметили, что авторы довольно качественно замаскировали его под плагин для кеширования. Как правило, такие аддоны нужны, чтобы снизить нагрузку на сервер и ускорить загрузку страниц.

Вредонос после установки исключает себя из списка «активных» плагинов, чтобы администратор ненароком не удалил его. Эксперты описывают следующие возможности бэкдора:

  • User creation — создаёт пользователя с именем «superadmin» и жёстко заданным в коде паролем. Пользователю присваиваются права администратора.
  • Bot detection — если среди посетителей обнаруживается бот или веб-краулер, вредонос просовывает им другой контент.
  • Content replacement — плагин может видоизменять посты и содержимое веб-страниц, вставляя туда спамерские ссылки и кнопки.
  • Plugin control — операторы бэкдора могут удалённо включать и выключать другие установленные плагины. Кроме того, эта функция чистит следы в базе данных.
  • Remote invocation — зловред проверяет определённые строки User Agent, позволяя злоумышленникам удалённо активировать различные функциональные возможности.

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru