Recientemente, MalwareHunterTeam compartió algunos ejemplos de complementos de WordPress que estaban marcados en VirusTotal como 'Trojan.WordPress.Backdoor.A'.
Estos complementos de WordPress fueron archivos zip que contenían lo que parecían ser complementos comerciales legítimos llamados "Coronavirus COVID-19 - Complemento de WordPress para mapas en vivo", Gráficos de predicción de propagación de Coronavirus "y" Covid-19 ".
Se descubrió que todos estos complementos contenían un archivo 'class.plugin-modules.php' que contenía código malicioso y varias cadenas codificadas en base64 que comúnmente se asocian con complementos WP-VCD.
Después de instalar el complemento, tomará el código PHP codificado en base64 en la variable WP_CD_CODE que se muestra arriba y lo guardará en el archivo /wp-includes/wp-vcd.php.
Con estas modificaciones de archivo, el código WP-VCD ahora se conectará de nuevo a su servidor C2 para recibir comandos para ejecutar en el host de WordPress.
Como el malware WP-VCD se propaga a través de complementos pirateados de WordPress, la mejor manera de evitar que su sitio se infecte es no descargar ningún complemento de sitios no autorizados.
Como los complementos son fácilmente modificados por cualquier persona con un mínimo conocimiento de PHP, descargar e instalar complementos pirateados siempre es una aventura arriesgada.
En este entorno, estamos viendo un aumento aún mayor en campañas maliciosas aprovechando la ansiedad y las preocupaciones de la pandemia de Coronavirus para distribuir malware y ataques de phishing .
Se recomienda encarecidamente que solo instale complementos de WordPress desde sitios autorizados y no instale complementos pirateados, ya que existe una buena posibilidad de que su sitio se vea comprometido.
Estos comandos se utilizarán comúnmente para inyectar código que muestra anuncios maliciosos en el sitio o realizar redireccionamientos a otros sitios.
Queda mas que claro que la pandemia que afecta a todo el mundo, da oportunidad a todos los ciberdelincuentes para distribuir malware a diestra y siniestra. Por lo que se recomienda poder validar los orígenes de datos y origenes de software.-
https://www.bleepingcomputer.com/news/security/wordpress-malware-distributed-via-pirated-coronavirus-plugins/
%2014.04.55.png)
