WordPress-securitytool ontmaskerd als kwaadaardige plugin

donderdag, 1 mei 2025 (11:40) - Techzine

In dit artikel:

Een nieuwe malwarecampagne richt zich specifiek op WordPress-websites via een kwaadaardige plugin die zich voordoet als een beveiligingstool. Deze misleidende plugin krijgt blijvende toegang tot de site, kan op afstand schadelijke code uitvoeren en JavaScript injecteren op pagina’s, terwijl hij zichzelf verbergt voor detectie in het plugin-overzicht. De malware werd eind januari 2025 ontdekt tijdens het opschonen van een geïnfecteerde website. Hierbij bleek dat een aangepast wp-cron.php-bestand automatisch een kwaadaardige plugin genaamd WP-antymalwary-bot.php aanmaakte en activeerde.

Daarnaast worden meerdere pluginbestanden gebruikt, zoals addons.php, wpconsole.php, wp-performance-booster.php en scr.php. Zelfs na verwijdering van de plugin wordt deze via wp-cron.php opnieuw gecreëerd en geactiveerd bij een volgend bezoek, wat verwijdertactieken ondermijnt. De exacte besmettingsweg is onduidelijk door het ontbreken van serverlogs, maar Wordfence vermoedt een gecompromitteerd hostingaccount of gestolen FTP-gegevens als mogelijke bronnen.

De command & control-server bevindt zich op Cyprus, waarbij de aanval overeenkomsten vertoont met een bekende supply chain-aanval uit juni 2024. De plugin verwerft beheerdersrechten door via een verborgen functie in te loggen met een speciaal wachtwoord via een URL-parameter, waarna de aanvaller zich toegang verschaft tot het beheerdersdashboard. Ook wordt een onbeveiligd REST API-kanaal ingesteld, waarmee willekeurige PHP-code kan worden uitgevoerd, caches geleegd en andere kwaadaardige opdrachten kunnen worden uitgevoerd.

Een nieuwere variant kan daarnaast base64-gecodeerde JavaScript injecteren in de header van de website, vermoedelijk om advertenties, spam of schadelijke doorverwijzingen te tonen aan bezoekers. Websitebeheerders wordt aangeraden om hun wp-cron.php- en header.php-bestanden te controleren op ongewenste wijzigingen en serverlogs te inspecteren op verdachte vermeldingen zoals emergency_login, check_plugin, urlchange of key, om een mogelijke besmetting vroegtijdig te signaleren. Deze malwarecampagne benadrukt het belang van strenge beveiligingsmaatregelen en voortdurende controle op WordPress-sites om misbruik te voorkomen.