SucuriはWordPressのプラグインにマルウェアを隠す方法を発見したと伝えた。サイバー攻撃者は、セキュリティソフトウェアや研究者による検出を回避するためにさまざまな攻撃手法を開発しており、今回の方法も巧妙に検出を回避するものだったとされている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のSucuriは2022年12月6日(現地時間)、同社のブログでCMS「WordPress」のプラグインにマルウェアを隠す新たな手法を発見したと伝えた。
Sucuriはブログで、サイバー攻撃者の具体的なマルウェア隠蔽(いんぺい)手法について解説した他、こうした隠蔽工作のリスクを緩和する方法についても紹介している。WordPressのユーザーは迅速に確認してほしい。
Sucuriは、WordPressの複数のランダムなプラグインに「get_hex_cache()」という関数を追加するPHPのコードを発見した。この関数は同じディレクトリにある「_inc.tmp」というファイルに収められており、このファイルが16進数でエンコードされた51KBのバイナリ文字列になっていたと説明している。
Sucuriによれば、サイバー攻撃者は、base64でエンコーディングすることでソースコードを難読化してマルウェアを隠すケースが多い。しかし、同社が発見した新しい手法では、16進数でのエンコードが用いられており、ファイルの中身の先頭に「3c7」を追加した後、PHPの「hex2bin」関数を使ってデコードするという手法が使われていた。
デコードされた結果は、WordPressページに挿入されるJavaScriptコードになっているが、このコード自身も難読化されている。関数名は「_0x18b4()」であり、その中身も一見すると理解できない。
WordPressページに挿入されるコードは別ページへのリダイレクトを実行するものだが、このコードは、ユーザーがWebブラウザの開発者ツールを開いている間には機能しないようになっている点も特徴的だ。動作を抑制することで研究者らが解析を実行する際に問題の発見を難しくする狙いがあるものとみられる。
Sucuriはこうしたサイバー攻撃の被害者とならないように、緩和策として以下の方法を試してみることを勧めている。
WordPressはユーザー数が多いことからサイバー攻撃の標的になるケースが多い。迅速に緩和策を適用することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.