WordPressのマルウェア WP-VCD

WordPressのハッキングキャンペーンについてのDefiant社のリサーチをご紹介します。

WP-VCD: The Malware You Installed On Your Own Site

Defiant社はWordpressのためのセキュリティ製品WordFenceを開発している企業です。同リサーチによると、現在WordPressにもっとも大きな被害をもたらしているマルウェアがWP-VCDです。

WP-VCDの大きな特徴として、感染するためにシステムの脆弱性を利用しないことが挙げられます。脆弱性を衝いて侵入するのではなく、すでにマルウェアが仕込まれたテーマやプラグインを、ウェブサイト管理者がダウンロード、インストールすることで感染します。

攻撃者は罠となるウェブサイト群を運営し、そこでマルウェアを仕込んだテーマやプラグインを無料配布しています。リンク先のホワイトペーパーに罠サイトのドメインが公開されています。罠サイトでは、ThemeForestやCodeCanyonなので有償で販売されている商用のテーマを無料で提供するとしています。

罠サイトのドメインは、既にWP-VCDによってハックされたウェブサイト群がもたらすキーワードブーストの効果を受けて、検索ランキングの上位に表示されています。たとえば、「人気のあるWordPressテーマ名」と「download」をGoogle検索すると、上記のウェブサイトが上位に表示されます。(2019年11月6日現在)

WP-VCDが仕込まれたテーマ、プラグインをWordPressインストールすると、即座にCMSが乗っ取られます。まずユーザーアカウント"100010010"が追加され、正規ユーザーの資格をもって各サイトにアクセスできることを確認します。
マルウェアは次に、他のテーマに感染します。もし攻撃用テーマをテスト用途にとどめて、実際に利用しなかったとしても、ほかのWordPressテーマを通じてマルウェアが実行されます。
もし共有ホスティング環境であれば、マルウェアはサーバー自体に感染し、同じ環境を共有しているウェブサイトにも広がります。

WP-VCDの目的は、ハックされたサイト群によるbotnetを作り上げ、C&C(コマンド&コントロール)ネットワークを通して操ることにあります。攻撃者は、マルバタイジングによって利益を得ます。悪意のある広告をウェブサイトに挿入し、ポップアップ広告を表示させたり、ユーザーをほかのサイトにリダイレクトします。広告収入を得るほか、ユーザーを別の攻撃者に誘導することでも収入を得ているとみられます。

WP-VCD自体は2017年から存在するマルウェアです。無料でダウンロードできる海賊版テーマやプラグインをインストールしないことが対策になります。対策は簡単ですが、感染してしまうと、怪しいコードを削除したり、感染しているファイルを特定する必要があるなど、対処はそれほど簡単ではありません。