Threat actors have been observed leveraging a legitimate but outdated WordPress plugin to surreptitiously backdoor websites as part of an ongoing campaign, Sucuri revealed in a report published last week.

The plugin in question is Eval PHP, released by a developer named flashpixx. It allows users to insert PHP code pages and posts of WordPress sites that’s then executed every time the posts are opened in a web browser.

While Eval PHP has never received an update in 11 years, statistics gathered by WordPress show that it’s installed on over 8,000 websites, with the number of downloads skyrocketing from one or two on average since September 2022 to 6,988 on March 30, 2023.

On April 23, 2023, alone, it was downloaded 2,140 times. The plugin has racked up 23,110 downloads over the past seven days.

GoDaddy-owned Sucuri said it observed some infected websites’ databases injected with malicious code into the “wp_posts” table, which stores a site’s posts, pages, and navigation menu information. The requests originate from these three IP addresses based in Russia.

“This code is quite simple: It uses the file_put_contents function to create a PHP script into the docroot of the website with the specified remote code execution backdoor,” security researcher Ben Martin said.

“Although the injection in question does drop a conventional backdoor into the file structure, the combination of a legitimate plugin and a backdoor dropper in a WordPress post allows them to easily reinfect the website and stay hidden. All the attacker needs to do is to visit one of the infected posts or pages and the backdoor will be injected into the file structure.”

Sucuri said it detected over 6,000 instances of this backdoor in the last 6 months alone, describing the pattern of inserting the malware directly into the database as a “new and interesting development.”

The attack chain entails installing the Eval PHP plugin on compromised sites and misusing it to establish persistent backdoors across multiple posts that are sometimes also saved as drafts.

“The way the Eval PHP plugin works it’s enough to save a page as a draft in order to execute the PHP code inside the [evalphp] shortcodes,” Martin explained, adding the rogue pages are created with a real site administrator as their author, suggesting the attackers were able to successfully sign in as a privileged user.

The development once again points to how malicious actors are experimenting with different methods to maintain their foothold in compromised environments and evade server-side scans and file integrity monitoring.

Site owners are advised to secure the WP Admin dashboard as well as watch out for any suspicious logins to prevent threat actors from gaining admin access and install the plugin.

Source: TheHackersNews, Ravie Lakshmanan

Atores de ameaças foram observados aproveitando um plug-in WordPress legítimo, mas desatualizado, para sites clandestinos como parte de uma campanha em andamento, Sucuri revelou em um relatório publicado na semana passada.

O plugin em questão é o Eval PHP, lançado por um desenvolvedor chamado flashpixx. Ele permite que os usuários insiram páginas de código PHP e postagens de sites WordPress que são executadas toda vez que as postagens são abertas em um navegador da web.

Embora o Eval PHP nunca tenha recebido uma atualização em 11 anos, as estatísticas coletadas pelo WordPress mostram que ele está instalado em mais de 8.000 sites, com o número de downloads disparando de um ou dois em média desde setembro de 2022 para 6.988 em 30 de março de 2023.

Somente em 23 de abril de 2023, ele foi baixado 2.140 vezes. O plugin acumulou 23.110 downloads nos últimos sete dias.

A Sucuri, de propriedade da GoDaddy, disse que observou alguns bancos de dados de sites infectados injetados com código malicioso na tabela “wp_posts”, que armazena as postagens, páginas e informações do menu de navegação de um site. As solicitações se originam desses três endereços IP baseados na Rússia.

“Este código é bastante simples: ele usa a função file_put_contents para criar um script PHP no docroot do site com o backdoor de execução de código remoto especificado”, disse o pesquisador de segurança Ben Martin.

“Embora a injeção em questão coloque um backdoor convencional na estrutura do arquivo, a combinação de um plug-in legítimo e um dropper de backdoor em uma postagem do WordPress permite que eles reinfectem facilmente o site e permaneçam ocultos. Tudo o que o invasor precisa fazer é visitar uma das postagens ou páginas infectadas e o backdoor será injetado na estrutura do arquivo.”

A Sucuri disse que detectou mais de 6.000 instâncias desse backdoor apenas nos últimos 6 meses, descrevendo o padrão de inserção do malware diretamente no banco de dados como um “desenvolvimento novo e interessante”.

A cadeia de ataque envolve a instalação do plug-in Eval PHP em sites comprometidos e seu uso indevido para estabelecer backdoors persistentes em várias postagens que às vezes também são salvas como rascunhos.

“A maneira como o plug-in Eval PHP funciona é o suficiente para salvar uma página como um rascunho para executar o código PHP dentro dos códigos curtos [evalphp]”, explicou Martin, acrescentando que as páginas não autorizadas são criadas com um administrador de site real como autor, sugerindo que os invasores conseguiram entrar com sucesso como um usuário privilegiado.

O desenvolvimento mais uma vez aponta como os agentes mal-intencionados estão experimentando diferentes métodos para manter sua posição em ambientes comprometidos e evitar varreduras do lado do servidor e monitoramento de integridade de arquivos.

Proprietários de sites são aconselhados a proteger o painel WP Admin bem como estar atentos a quaisquer logins suspeitos para impedir que agentes de ameaças obtenham acesso de administrador e instalem o plug-in.

Fonte: TheHackersNews, Ravie Lakshmanan