Malware su WordPress: l’uso di php‑everywhere e vulnerabilità di LiteCache per backdoor persistenti

Fonti

Fonte: WPScan Blog – “A persistent twist in the current Malware Campaign”

Approfondimento

Il documento analizza una campagna di malware che sfrutta vulnerabilità di plugin WordPress, in particolare LiteCache e WP‑Automatic, e l’uso di un plugin di terze parti, php‑everywhere, per mantenere una presenza persistente sul sito compromesso. L’attacco si basa su una serie di inserimenti di post con contenuti codificati, che permettono al malware di scaricare e eseguire file dannosi, oltre a disabilitare protezioni PHP.

Dati principali

Di seguito i punti chiave estratti dal testo:

• Il plugin php‑everywhere è stato installato per eseguire codice PHP arbitrario.
• Il malware crea post con titoli contenenti timestamp o hash di exploit.
• Il codice inserito crea un file 65f82ab408b3.php nella root del sito.
• Il file scaricato esegue due comandi wget per ottenere inc.class.ftr.php e inc.class.woopf.php, poi li esegue.
• Il malware disabilita le funzioni PHP per evitare rilevamenti.
• Il file get_ftr.txt contiene un codice obfuscato che, una volta deobfuscato, scarica ulteriori componenti.
• Il malware scarica cinque file: una versione di sé stesso, una lista di user‑agent, RollingCurl, una classe RollingCurl anonimizzata e una lista di URL target.
• Il malware mira a versioni vulnerabili di Forminator e Essential Blocks.

Possibili Conseguenze

Le azioni del malware possono portare a:

• Accesso non autorizzato a dati sensibili memorizzati sul sito.
• Installazione di backdoor per controlli futuri.
• Compromissione di altri plugin o componenti del CMS.
• Rischio di reputazione e perdita di fiducia da parte degli utenti.
• Possibile compromissione di server collegati tramite script di comando remoto.

Opinione

Il testo presenta una descrizione tecnica e dettagliata dell’attacco, senza esprimere giudizi di valore. L’obiettivo è informare i lettori sulle modalità operative del malware e sui segnali di compromissione.

Analisi Critica (dei Fatti)

Il documento si basa su osservazioni concrete: inserimenti di post, file creati, comandi eseguiti e configurazioni PHP modificate. Non vi sono affermazioni non verificate; tuttavia, l’autore non fornisce dati quantitativi su prevalenza o impatto economico. La descrizione tecnica è coerente con le pratiche di malware note, ma non include prove di esecuzione in ambienti reali.

Relazioni (con altri fatti)

Il malware sfrutta vulnerabilità già documentate di LiteCache, WP‑Automatic, Forminator e Essential Blocks. Le tecniche di obfuscazione e di download di file esterni sono tipiche di campagne di malware che mirano a mantenere una presenza persistente e a sfruttare ulteriori vulnerabilità.

Contesto (oggettivo)

WordPress è la piattaforma CMS più diffusa al mondo, con un vasto ecosistema di plugin. La frequenza di vulnerabilità nei plugin è elevata, rendendo i siti WordPress un obiettivo frequente per gli aggressori. Le campagne di malware che combinano exploit di plugin con l’installazione di componenti di backdoor sono ormai consolidate.

Domande Frequenti

1. Che cosa è il plugin php‑everywhere? È un plugin che permette di eseguire codice PHP arbitrario all’interno dei post di WordPress. È stato chiuso il 25 aprile su richiesta dell’autore.
2. Come identifica un sito compromesso? I segnali includono la presenza del plugin php‑everywhere, post sospetti con contenuto minimo, processi PHP zombie che puntano a file come inc.class.ftr.php, e file strani nella root del sito.
3. Quali sono le principali vulnerabilità sfruttate? Le campagne sfruttano vulnerabilità di LiteCache, WP‑Automatic, Forminator (upload arbitrario non autenticato) e Essential Blocks.
4. Che tipo di file scarica il malware? Scarica file PHP obfuscati, script di download, liste di user‑agent e file di configurazione per ulteriori attacchi.
5. Qual è l’obiettivo finale del malware? Mantenere una presenza persistente sul sito, raccogliere informazioni per attacchi futuri e sfruttare ulteriori vulnerabilità per espandere il controllo.