Internet Home Page Bringing True Journalism Without Fake News Malware backdoor baru ditemukan menginfeksi situs WordPress dan Joomla

Malware backdoor baru ditemukan menginfeksi situs WordPress dan Joomla

by Hairiman
  • Bergantung pada jenis platform, malware menentukan metode yang akan digunakan untuk lebih lanjut menginfeksi file situs web.
  • Operator malware menyebarkan malware melalui hestonsflorists [.] Com.

Malware backdoor baru telah ditemukan menginfeksi ulang file bahkan setelah pemilik situs web membersihkan situs web mereka. Ini terutama menargetkan ke situs web berbasis WordPress dan Joomla untuk memulai proses infeksi.

Apa yang baru tentang malware?

Dalam posting blog terbarunya, Sucuri menyebutkan bahwa kegigihan malware di situs web “diciptakan oleh cron yang dijadwalkan untuk mengunduh malware dari domain pihak ketiga.”

Kode sumber malware telah dikonfigurasi hanya untuk mendeteksi situs web berbasis WordPress dan Joomla. Bergantung pada jenis platform, malware menentukan metode yang akan digunakan untuk lebih lanjut menginfeksi file situs web.

Bagaimana cara kerjanya?

Peneliti Sucuri mengutip contoh di mana salah satu kliennya telah dipengaruhi oleh infeksi malware yang terus-menerus. Situs web klien menggunakan WordPress. Itu menyalahgunakan plugin WordPress ‘Hello Dolly’ default untuk melanjutkan proses infeksi.

“Malware melanjutkan untuk menjaga stempel waktu yang ada dari plugin WordPress default” Halo, Dolly “, kemudian mencoba untuk menyembunyikan malware encoded base64 ke file plugin ./wp-content/plugins/hello.php,” kata para peneliti Sucuri dalam sebuah posting blog .

Malware backdoor mempertahankan pijakannya meskipun ada proses sanitasi di situs web.

Perlu diperhatikan

Dalam rentang 5-8 tahun, operator malware telah mengubah domain untuk distribusi malware. Mereka telah menggeser domain com hestonsflorist [.] Yang lama ke domain saat ini di hestonsflorist [.] Com untuk menyebarkan malware.

“Penyerang bahkan menetapkan cap waktu palsu yang sama (201104202045) menggunakan sentuhan untuk mencoba dan menipu webmaster – yang saat ini mungkin akan lebih mencurigakan, karena cap waktu palsu mencerminkan tanggal lebih dari 8 tahun,” tambah para peneliti.

Peneliti lebih lanjut mencatat bahwa file jahat dari malware backdoor ini dilayani dari ‘/ direktori tmp’, yang jarang dipindai atau dipantau dan membuatnya sulit untuk dideteksi.

You may also like

Leave a Comment