Os invasores conseguiram incorporar um backdoor em 40 plugins e 53 temas do sistema de gerenciamento de conteúdo WordPress, desenvolvido pela AccessPress, que afirma que seus complementos são usados em mais de 360 mil sites. Os resultados da análise do incidente ainda não foram fornecidos, mas presume-se que o código malicioso foi introduzido durante o comprometimento do site AccessPress, fazendo alterações nos arquivos oferecidos para download com lançamentos já lançados, uma vez que o backdoor está presente apenas no código distribuído pelo site oficial do AccessPress, mas está ausente nas mesmas versões de complementos distribuídos pelo diretório WordPress.org.
As alterações maliciosas foram descobertas por um pesquisador da JetPack (uma divisão da desenvolvedora WordPress Automatic) enquanto examinava códigos maliciosos encontrados no site de um cliente. Uma análise da situação mostrou que alterações maliciosas estavam presentes no complemento do WordPress baixado do site oficial do AccessPress. Outros complementos do mesmo fabricante também foram sujeitos a modificações maliciosas que permitiram acesso total ao site com direitos de administrador.
Durante a modificação, os invasores adicionaram o arquivo “initial.php” aos arquivos com plugins e temas, que foi conectado através da diretiva “include” no arquivo “functions.php”. Para confundir a trilha, o conteúdo malicioso no arquivo “initial.php” foi camuflado como um bloco de dados codificado em base64. A inserção maliciosa, sob o pretexto de obter uma imagem do site wp-theme-connect.com, carregou diretamente o código backdoor no arquivo wp-includes/vars.php.
Os primeiros sites que incluíam alterações maliciosas nos complementos do AccessPress foram identificados em setembro de 2021. Supõe-se que foi então que o backdoor foi inserido nos add-ons. A primeira notificação ao AccessPress sobre o problema identificado ficou sem resposta, e o AccessPress só conseguiu chamar a atenção após envolver a equipe do WordPress.org na investigação. Em 15 de outubro de 2021, os arquivos afetados pelo backdoor foram removidos do site AccessPress e novas versões dos complementos foram lançadas em 17 de janeiro de 2022.
A Sucuri examinou separadamente sites nos quais versões afetadas do AccessPress foram instaladas e identificou a presença de módulos maliciosos carregados por meio de um backdoor que enviava spam e redirecionava referências para sites fraudulentos (os módulos eram datados de 2019 e 2020). Supõe-se que os autores do backdoor estavam vendendo acesso a sites comprometidos.
Temas nos quais a substituição backdoor é registrada:
- amigo de acesso 1.0.0
- accesspress-básico 3.2.1
- accesspress-lite 2.92
- accesspress-mag 2.6.5
- accesspress-paralaxe 4.5
- accesspress-ray 1.19.5
- accesspress-root 2.5
- accesspress-staple 1.9.1
- accesspress-loja 2.4.9
- agência-lite 1.1.6
- aplito 1.0.6
- bingle 1.0.4
- blogueiro 1.2.6
- construção leve 1.2.5
- doko 1.0.27
- esclarecer 1.3.5
- loja de moda 1.2.1
- fotografia 2.4.0
- gaga-corp 1.0.8
- gaga-lite 1.4.2
- um espaço 2.2.8
- blog de paralaxe 3.1.1574941215
- paralaxe 1.3.6
- ponto 1.1.2
- girar 1.3.1
- ondulação 1.2.0
- scrollme 2.1.0
- revista esportiva 1.2.1
- storevilla 1.4.1
- swing-lite 1.1.9
- o lançador 1.3.2
- segunda-feira 1.4.1
- descodificar-lite 1.3.1
- unicon-lite 1.2.6
- vmag 1.2.7
- vmagazine-lite 1.3.5
- vmagazine-news 1.0.5
- zigcy-baby 1.0.6
- zigcy-cosméticos 1.0.5
- zigcy-lite 2.0.9
Plugins nos quais a substituição de backdoor foi detectada:
- accesspress-anonymous-post 2.8.0 2.8.1 1
- accesspress-custom-css 2.0.1 2.0.2
- accesspress-custom-post-type 1.0.8 1.0.9
- accesspress-facebook-auto-post 2.1.3 2.1.4
- accesspress-instagram-feed 4.0.3 4.0.4
- accesspress-pinterest 3.3.3 3.3.4
- accesspress-social-counter 1.9.1 1.9.2
- accesspress-social-icons 1.8.2 1.8.3
- accesspress-social-login-lite 3.4.7 3.4.8
- accesspress-social-share 4.5.5 4.5.6
- accesspress-twitter-auto-post 1.4.5 1.4.6
- accesspress-twitter-feed 1.6.7 1.6.8
- ak-menu-icons-lite 1.0.9
- ap-companion 1.0.7 2
- formulário de contato ap 1.0.6 1.0.7
- ap-depoimento personalizado 1.4.6 1.4.7
- ap-mega-menu 3.0.5 3.0.6
- ap-pricing-tables-lite 1.1.2 1.1.3
- apex-notificação-bar-lite 2.0.4 2.0.5
- cf7-store-to-db-lite 1.0.9 1.1.0
- comentários-desativar-accesspress 1.0.7 1.0.8
- guia lateral fácil-cta 1.0.7 1.0.8
- everest-admin-tema-lite 1.0.7 1.0.8
- Everest-em breve-lite 1.1.0 1.1.1
- everest-comment-rating-lite 2.0.4 2.0.5
- everest-counter-lite 2.0.7 2.0.8
- everest-faq-manager-lite 1.0.8 1.0.9
- everest-galeria-lite 1.0.8 1.0.9
- everest-google-places-reviews-lite 1.0.9 2.0.0
- everest-revisão-lite 1.0.7
- everest-tab-lite 2.0.3 2.0.4
- everest-timeline-lite 1.1.1 1.1.2
- inline-call-to-action-builder-lite 1.1.0 1.1.1
- controle deslizante de produto para woocommerce-lite 1.1.5 1.1.6
- logotipo inteligente-showcase-lite 1.1.7 1.1.8
- postagens de rolagem inteligente 2.0.8 2.0.9
- rolagem inteligente para cima lite 1.0.3 1.0.4
- total-gdpr-compliance-lite 1.0.4
- equipe total-lite 1.1.1 1.1.2
- final-autor-box-lite 1.1.2 1.1.3
- ultimate-form-builder-lite 1.5.0 1.5.1
- woo-badge-designer-lite 1.1.0 1.1.1
- wp-1-slider 1.2.9 1.3.0
- wp-blog-manager-lite 1.1.0 1.1.2
- wp-comment-designer-lite 2.0.3 2.0.4
- wp-cookie-user-info 1.0.7 1.0.8
- wp-facebook-review-showcase-lite 1.0.9
- wp-fb-messenger-button-lite 2.0.7
- wp-menu flutuante 1.4.4 1.4.5
- wp-media-manager-lite 1.1.2 1.1.3
- wp-popup-banners 1.2.3 1.2.4
- wp-popup-lite 1.0.8
- wp-product-gallery-lite 1.1.1
Fonte: opennet.ru