Ferramenta YODA encontra aproximadamente 47.000 plugins maliciosos do WordPress instalados em mais de 24.000 sites
Até 47.337 plugins maliciosos foram descobertos em 24.931 sites únicos, dos quais 3.685 plugins foram vendidos em mercados legítimos, rendendo aos invasores US$ 41.500 em receitas ilegais.
As descobertas vêm de uma nova ferramenta chamada YODA, que visa detectar plugins maliciosos do WordPress e rastrear sua origem, de acordo com um estudo de 8 anos conduzido por um grupo de pesquisadores do Georgia Institute of Technology.
“Os invasores personificaram autores de plugins benignos e espalharam malware distribuindo plugins piratas”, informaram os pesquisadores em um novo artigo intitulado “ Desconfie de plugins que você deve”.
“O número de plugins maliciosos em sites aumentou constantemente ao longo dos anos, e a atividade maliciosa atingiu o pico em março de 2020. Surpreendentemente 94% dos plugins maliciosos instalados ao longo desses 8 anos ainda estão ativos hoje.”
A pesquisa em larga escala envolveu a análise de plug-ins do WordPress instalados em 410.122 servidores da Web exclusivos desde 2012, descobrindo que plug-ins que custam um total de US$ 834.000 foram infectados após a implantação por agentes de ameaças.|
O YODA pode ser integrado diretamente a um site e a um provedor de hospedagem de servidor web ou implantado por um mercado de plug-ins. Além de detectar complementos ocultos e manipulados por malware, a estrutura também pode ser usada para identificar a proveniência de um plug-in e sua propriedade.
Ele consegue isso realizando uma análise dos arquivos de código do lado do servidor e os metadados associados (por exemplo, comentários) para detectar os plugins, seguido por uma análise sintática e semântica para sinalizar comportamentos maliciosos.
O modelo semântico é responsável por uma ampla gama de bandeiras vermelhas, incluindo web shell, função para inserir novas postagens, execução protegida por senha de código injetado, spam, ofuscação de código, blackout SEO, downloader de malware, malvertising e mineradores de criptomoeda.
Algumas das descobertas notáveis são as seguintes:
- 3.452 plugins disponíveis em mercados de plugins legítimos facilitaram a injeção de spam;
- 40.533 plugins foram infectados após a implantação em 18.034 sites;
- Plugins nulos, plugins ou temas do WordPress que foram adulterados para baixar códigos maliciosos nos servidores representaram 8.525 do total de complementos maliciosos, com cerca de 75% dos plugins piratas enganando os desenvolvedores com US$ 228.000 em receitas.
“Usando o YODA, proprietários de sites e provedores de hospedagem podem identificar plugins maliciosos no servidor da web; desenvolvedores de plugins e mercados podem verificar seus plugins antes da distribuição”, informaram os pesquisadores.
Este é uma tradução de: https://thehackernews.com/2022/06/yoda-tool-found-47000-malicious.html (Autor: )
