Cerca de 47.337 plugins maliciosos do WordPress foram encontrados em 24.931 sites, dos quais 3.685 plugins foram vendidos em mercados legítimos, rendendo aos invasores US$ 41.500 (apróx. R$ 198,4 mil) em receitas ilegais.
Os plugins foram descobertos por uma nova ferramenta chamada YODA. Essa ferramenta visa detectar plugins maliciosos do WordPress e rastrear sua origem, de acordo com um estudo de 8 anos conduzido por um grupo de pesquisadores do Georgia Institute of Technology.
Descoberta de plugins maliciosos do WordPress
De acordo com o grupo de pesquisadores “Os invasores personificaram autores de plugins benignos e espalharam malware distribuindo plugins piratas”. Segundo eles, “O número de plugins maliciosos em sites aumentou constantemente ao longo dos anos, e a atividade maliciosa atingiu o pico em março de 2020. Surpreendentemente, 94% dos plugins maliciosos instalados ao longo desses 8 anos ainda estão ativos hoje.”
A pesquisa em larga escala envolveu a análise de plug-ins do WordPress instalados em 410.122 servidores da Web exclusivos desde 2012, descobrindo que plug-ins que custam um total de US$ 834.000 (quase R$ 4 milhões) foram infectados após a implantação por agentes de ameaças.
YODA
O YODA é uma ferramenta que pode ser integrada diretamente a um site e a um provedor de hospedagem de servidor web ou implantado por um mercado de plug-ins. Além de detectar complementos ocultos e manipulados por malware, a estrutura também pode ser usada para identificar a proveniência de um plug-in e sua propriedade.
YODA consegue isso realizando uma análise dos arquivos de código do lado do servidor e os metadados associados para detectar os plugins, seguido por uma análise sintática e semântica para sinalizar comportamentos maliciosos. O modelo semântico é responsável por uma ampla gama de bandeiras vermelhas, incluindo web shells, função para inserir novas postagens, execução protegida por senha de código injetado, spam, ofuscação de código, blackout SEO, downloaders de malware, malvertising e mineradores de criptomoeda.
Outras descobertas relacionadas aos plugins
De acordo com a pesquisa, 3.452 plugins disponíveis em mercados de plugins legítimos facilitaram a injeção de spam; 40.533 plugins foram infectados após a implantação em 18.034 sites. Além disso, descobriu-se plugins nulos: plugins ou temas do WordPress que foram adulterados para baixar códigos maliciosos nos servidores, que representaram 8.525 do total de complementos maliciosos, com cerca de 75% dos plugins piratas enganando os desenvolvedores de US$ 228.000 (aprox.. R$ 1,09 milhão) em receitas.
Os pesquisadores destacam que “Usando o YODA, proprietários de sites e provedores de hospedagem podem identificar plugins maliciosos no servidor da web; desenvolvedores de plugins e mercados podem verificar seus plugins antes da distribuição”.
Via: TheHackerNews