Một khách hàng của chúng tôi đã báo cáo một số URL spam lạ được chèn trên trang web WordPress của họ và sau khi điều tra, hóa ra tin tặc đã che giấu phần mềm độc hại của trình tiêm spam được mã hóa trong tệp chủ đề sau: /wp-content/theme/themevc/functions.php

Tin tặc đã định dạng trình tiêm mã hóa để trông giống như License Key theme đang cố gắng đánh lạc hướng khỏi nghi ngờ mã này và tìm phần mềm độc hại:

Mã được chèn chứa một vài lớp mã hóa để tiếp tục làm xáo trộn nó khỏi sự phát hiện, nhưng chúng ta có thể bắt đầu bằng cách giải  văn bản được mã hóa base64 trong biến $ token :

Như được hiển thị bởi nội dung được giải mã ở trên, chúng ta có thể thấy rằng hacker vẫn đang cố gắng ngụy trang phần mềm độc hại như một loại khóa cấp phép cho một chủ đề.

Câu lệnh if có điều kiện này cũng đã kiểm tra các tác nhân người dùng, hiển thị các URL spam cho bất kỳ và tất cả các tác nhân / công cụ tìm kiếm khác ngoại trừ các tác nhân được hiển thị bên dưới. Nó đã cố gắng ẩn nó khỏi một số công cụ phân tích liên kết dựa trên web vì nó có thể được lưu trữ bởi các công cụ đó và khách hàng có thể được thông báo:

Tải trọng được giải mã cuối cùng với các liên kết ẩn như nó sẽ xuất hiện trong nguồn HTML:

Các liên kết được mã hóa cứng bên trong phần mềm độc hại này, nhưng trên các trang web khác nhau, chúng có thể khác nhau. Mặc dù vậy, tên miền của các trang web virus vẫn giống nhau.

Leave a Reply

avatar
  Subscribe  
Notify of