Onderzoekers hebben vorige week malware voor WordPress ontdekt die behoorlijk slimme zelfbehoud technieken toepast. De malware, die BabaYaga wordt genoemd, is namelijk in staat om andere malware te verwijderen en de betreffende WordPress sites te updaten. Dat blijkt uit een 26-pagina’s tellend rapport van securitybedrijf Defiant, eerder bekend als WordFence.
BabaYaga
Het doel van de malware is om spam op de geïnfecteerde te plaatsen, die bezoekers vervolgens doorstuurt naar de website van een partner. Alle aankopen die op deze website worden gedaan genereren inkomsten voor de aanvaller. De malware, die vermoedelijk het werk is van een groep Russisch-sprekende hackers, is niet nieuw. Echter hebben recente updates deze voorheen vrij onschuldige malware in een gemene vijand voor WordPress gebruikers veranderd. BabaYaga beschikt namelijk over allerlei features om detectie te voorkomen en de website goed te laten werken, zodat de eigenaar van de WordPress site niets doorheeft. BabaYaga kan niet alleen andere malware verwijderen en de WordPress site updaten, maar ook bugs repareren en meerdere backdoors toevoegen. “Het idee hierachter is eenvoudig,” verklaart Mikey Veenstra van Defiant. “Een goede parasiet wil de gastheer in leven houden. Als alles werkt kan het lang duren voordat de eigenaar van een getroffen site weet dat er iets mis is.”
Veel geavanceerder dan de meeste malware
Hoe BabaYaga WordPress sites precies infecteert wordt niet gemeld. Wel melden de onderzoekers dat de malware naar andere websites kan zoeken om daar de “infectieroutine” uit te voeren. “BabaYaga is relatief goed geschreven en demonstreert dat de auteur enige kennis heeft van uitdagingen op het gebied van softwareontwikkeling, zoals toepassing van code, performance en management,” zeggen de onderzoekers. BabaYaga is ook in staat om Joomla en Drupal websites te infecteren, en zelfs generieke PHP sites. Maar de malware lijkt vooral ontwikkeld te zijn voor WordPress.
“BabaYaga is een opkomende dreiging die veel geavanceerder is dan de meeste malware,” aldus Defiant.
Lees ook: 10 WordPress plugin tips om hackers te slim af te zijn
