WordPressプラグインに難読化されたマルウェアが混入、要注意

Sucuriは12月6日(米国時間)、「Infected WordPress Plugins Redirect to Push Notification Scam」において、複雑な難読化手法を用いた興味深いマルウェアを発見したと伝えた。攻撃者は検知を回避するために通常のbase64エンコードを利用するのではなく、通常のWordPressプラグインファイルにPHP関数のバリエーションを追加し、16進数のペイロードを含むファイルからhex2decをデコードしていたと説明されている。

サイト訪問者がWebサイトのどこかをクリックすると、ブラウザのタブが開いて不審なWebページにリダイレクトするという相談がSucuriに寄せられたいう。調査した結果、主にポルノサイトに使用される怪しげな広告ネットワークが使用するIPアドレスにリダイレクトすることが確認され、リダイレクトの原因として悪意のある難読化されたJavaScriptがランダムなWordPressプラグインファイルに注入されていたことがわかった。