Специалисты из компании Sucuri обнаружили плагин для WordPress, который способен создавать фальшивых пользователей-администраторов и внедрять на сайты вредоносный jаvascript-код для кражи информации о банковских картах. «Как и многие другие вредоносные и мошеннические плагины для WordPress, этот экземпляр содержит вводящую в заблуждение информацию в верхней части файла, чтобы придать ему видимость легитимности, — рассказывают эксперты. — В данном случае в комментариях утверждается, что код связан с WordPress Cache Addons». Как правило, вредоносные плагины попадают на WordPress-сайты либо через взломанного пользователя-администратора, либо через эксплуатацию уязвимостей в других, уже установленных плагинах. Эксперты пишут, что после установки плагин копирует себя в каталог mu-plugins (или must-use plugins), чтобы включаться автоматически и скрывать свое присутствие. «Поскольку единственный способ удаления из mu-plugins — это удаление файла вручную, вредоносная программа делает все возможное, чтобы не допустить этого. Например, для этого она отключает callback-функции для хуков, которые обычно используют подобные плагины», — гласит отчет. Кроме того, вредоносный плагин позволяет создавать и скрывать от владельцев сайтов новые аккаунты администраторов, чтобы не привлекать внимания к своей активности и сохранять доступ к ресурсу на протяжении длительного времени. Интересно, что плагин не только прячет аккаунт нового администратора от глаз настоящего владельца сайта в панели администратора, но также уменьшает общее количество администраторов. Дело в том, что обычно WordPress показывает владельцу сайта не только список всех пользователей-администраторов, но и их количество. Чтобы человек не заметил несоответствие между пользователями из списка и общим числом администраторов, малварь предусмотрительно уменьшает количество администраторов на единицу. Конечной целью этой кампании является внедрение на сайты веб-скиммеров для кражи данных банковских карт на страницах оформления заказа. Затем украденная информация передается на домен, контролируемый злоумышленниками. При этом вредонос использует реальные файлы изображений для логотипов банковских карт (Visa, Mastercard и так далее) с самого зараженного сайта, но накладывает поверх реальной страницы оформления заказа поддельную. По словам аналитиков, это позволяет малвари незаметно интегрироваться в страницу оформления заказа, не создавая при этом никаких «визуальных сигналов» о том, что что-то не так.