WordPress向けセキュリティプラグインである「Wordfence」の開発元である「Defiant」が公式と見せかけたニセモノのプラグインによってサイトが乗っ取られた場合のマルウェアの様々な挙動が紹介されています。
サイトをのっとったマルウェアの挙動例
Backdoor Masquerading as Legitimate Plugin
Defiantによると以下のような5つのパターンが紹介されています。
1.悪意のあるユーザーの無断作成
サイトを乗っ取ると管理者権限を持つ「superadmin」というユーザーを作成し、悪意のある攻撃をした後、痕跡を消してバレないようにすることができます。
2.ボットの検出
一部のユーザーには通常どおりのコンテンツも表示させますが、一部のタイプのユーザーには悪意のあるコンテンツにリダイレクトさせるなどの行為を行います。
3.コンテンツの置き換え
WordPressの投稿したページに免責事項を追加したり、他のコンテンツやページに任意のものを勝手に追加したりします。
4.プラグインの有効化と無効化
マルウェアは乗っ取ることで、任意のプラグインをリモートで有効および無効化を自由にすることが可能です。
これにより悪意のあるプラグインを有効にしたり、痕跡を削除する機能を使ったりします。
5.リモート呼び出し
特定のユーザーエージェント文字列の存在をチェックして該当した場合は対応する関数が実行されるようになってしまいます。
WordPressを利用している方はプラグインなど外部機能を導入する時は十分に注意して導入する必要があります。