Ferramenta chamada YODA acha 47.000 plugins maliciosos em instalações de WordPress

Cyber security

Sumário

Ferramenta YODA acha mais de 47.000 plugins maliciosos em cerca de 24.000 instalações de WordPress.

Um grupo de pesquisadores do Georgia Institute of Technology realizou pesquisas durante 8 anos rastreando centenas de padrões na internet relacionados a brechas e falhas de segurança com WordPress.

Os resultados da pesquisa denotam que cerca de 47.337 plugins maliciosos foram descobertos em cerca de 24.931 sites únicos, dos quais quase 4.000 plugins foram vendidos em mercados legítimos, rendendo aos invasores cerca de U$ 41.500 em receitas ilegais.

“Os invasores personificaram autores de plugins benignos e espalharam malware distribuindo plugins piratas”, disseram os pesquisadores em um novo artigo intitulado “ Desconfie de plugins que você deve ”.

“O número de plugins maliciosos em sites aumentou constantemente ao longo dos anos, e a atividade maliciosa atingiu o pico em março de 2020. Surpreendentemente, 94% dos plugins maliciosos instalados ao longo desses 8 anos ainda estão ativos hoje.”

A Pesquisa

A pesquisa em larga escala envolveu a análise de plug-ins do WordPress instalados em 410.122 servidores da Web exclusivos desde 2012, descobrindo que plug-ins que custam um total de US$ 834.000 foram infectados após a implantação por agentes de ameaças.

Como o Yoda Funciona

O YODA pode ser integrado diretamente a um site e a um provedor de hospedagem de servidor web ou implantado por um mercado de plug-ins. Além de detectar complementos ocultos e manipulados por malware, a estrutura também pode ser usada para identificar a proveniência de um plug-in e sua propriedade.

ferramenta yoda plugin wordpress hacked detected
Fonte: TheHackNews

GitHub com o repositório do YODA = Acesse

A Ferramenta realiza análise dos arquivos de código ao lado do servidor e os metadados associados para detectar os plugins, seguido por uma análise sintática e semântica para sinalizar comportamentos malicosos.

O modelo semântico é responsável por uma ampla gama de bandeiras vermelhas, incluindo web shells, função para inserir novas postagens, execução protegida por senha de código injetado, spam, ofuscação de código, blackout SEO, downloaders de malware, malvertising e mineradores de criptomoeda.

  • Plugins do tipo Nulled – plugins ou temas do WordPress que foram adulterados para baixar códigos maliciosos nos servidores – representaram 8.525 do total de complementos maliciosos, com cerca de 75% dos plugins piratas enganando os desenvolvedores de US$ 228.000 em receitas

Fonte: TheHackerNews