Sucuriは12月6日(米国時間)、「Infected WordPress Plugins Redirect to Push Notification Scam」において、複雑な難読化手法を用いた興味深いマルウェアを発見したと伝えた。攻撃者は検知を回避するために通常のbase64エンコードを利用するのではなく、通常のWordPressプラグインファイルにPHP関数のバリエーションを追加し、16進数のペイロードを含むファイルからhex2decをデコードしていたと説明されている。

  • Infected WordPress Plugins Redirect to Push Notification Scam

    Infected WordPress Plugins Redirect to Push Notification Scam

サイト訪問者がWebサイトのどこかをクリックすると、ブラウザのタブが開いて不審なWebページにリダイレクトするという相談がSucuriに寄せられたいう。調査した結果、主にポルノサイトに使用される怪しげな広告ネットワークが使用するIPアドレスにリダイレクトすることが確認され、リダイレクトの原因として悪意のある難読化されたJavaScriptがランダムなWordPressプラグインファイルに注入されていたことがわかった。

難読化により、Webサイトの所有者はWebサイト上の悪意のある動作の検出や原因の特定が困難になる可能性があると指摘されている。また、Webサイトの感染リスクを軽減するための緩和策がいくつか紹介されている。

対策として、Webサイトのマルウェアを定期的にスキャンしてクライアントとサーバの両レベルで感染に注意すること、Webサイトのソフトウェアの最新版やパッチが入手可能になったらすぐにインストールすること、Webアプリケーションファイアウォールの有効活用や管理ページへのアクセスを制限し、Webサイトのすべてのアカウントに強力でユニークなパスワードを使用するなどが紹介されている。