Defiantは10月10日(米国時間)、「Backdoor Masquerading as Legitimate Plugin」において、WordPressのキャッシュプラグインに偽装した高度なバックドア機能を持つ新しいマルウェアを発見したとして、注意を呼び掛けた。このマルウェアは2023年7月18日にDefiantの分析担当者により発見されたという。

  • Backdoor Masquerading as Legitimate Plugin

    Backdoor Masquerading as Legitimate Plugin

Defiantによると、このマルウェアにはWordPressのキャッシュプラグインであることを示唆する専門的なコメントの記載があるという。しかしながら、このマルウェアのコードの大半はコメントとは無関係な悪意のあるコードであり、コメントは正規のプラグインに見せかけるために追加されたものとみられている。

Defiantはこのマルウェアの名称を開示していない。理由はこのマルウェアと同じコードを持つ別のファイルが見つかっているためで、名称を頼りにマルウェアの検出を試みることは安全ではないとしている。Defiantは公開したマルウェアのコードと同等のコードを持つファイルを探す方法により検出することを推奨している。

Defiantの分析によると、同マルウェアの主な機能には、管理者ユーザの作成および削除、クローラの検出、コンテンツの改ざん、任意のプラグインの有効化および無効化、リモートからさまざまな機能の呼び出しなどがあるという。これら機能からこのマルウェアには侵害したWebサイトをリモート制御してコンテンツを改ざんし、経済的利益を得る目的があるものと推測されている。

  • 管理者ユーザを作成する悪意のあるコード - 提供:Defiant

    管理者ユーザを作成する悪意のあるコード 引用:Defiant

Defiantは、このようなマルウェアからWordPressのWebサイトが侵害された場合に感染を除去するガイド「How to Clean a Hacked WordPress Site using Wordfence - Wordfence」を公開している。また、このような侵害からWebサイトを保護するために、適切なセキュリティソリューションの導入を推奨している。

WordPressは世界中で最も多く活用されるコンテンツ管理システム(CMS: Content Management System)であり、同時に脅威アクタから攻撃を受けやすいシステムとされている。WordPressを運用する管理者にはWebサイトを保護するために、WordPressに関するベストプラクティスの実践が推奨される。