WordPressのマルウェア対策プラグインを装う新しいマルウェア発見

Defiantはこのほど、「Interesting WordPress Malware Disguised as Legitimate Anti-Malware Plugin」において、WordPressのマルウェア対策プラグインを装う新しいマルウェアを発見したと報じた。

このマルウェアには永続性、ダッシュボードからの隠蔽、リモートコードの実行、管理者アクセス機能、テーマへの感染機能があるとされる。

wp-cron.phpの動作を永続性確保に悪用

2025年1月22日、Wordfence脅威インテリジェンスチームは侵害されたWebサイトのクリーニング作業中にマルウェアを発見したという。初期の侵害経路は特定されていないが、ホスティングアカウントまたはFTPアカウントの侵害が原因とみられている。

侵入に成功した攻撃者はWordPressのタスク実行スクリプト「wp-cron.php」にマルウェアドロッパーを設置。このスクリプトから悪意のあるプラグイン本体をインストールしている。これまでの調査で確認された悪意のあるプラグインの一覧は次のとおり。

wp-cron.phpの悪用には永続性を確保する目的がある。このスクリプトはWebサイトの訪問時に実行されるため、プラグインを削除されてもアクセスのたびに自動的に復元することができる。

Defiantは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開している。WordPressサイトを運用している管理者には、これらIoCに一致する兆候がないか調査することが推奨されている。

兆候が見られる場合や上記のプラグインファイルが存在する場合は侵害されている可能性がある。その場合はWebサイトに関連するすべてのパスワードを変更し、wp-cron.phpを修復してから悪意のあるプラグインを削除。最後にテーマなど改ざんされたすべてのファイルを修復することが推奨される。