Para peneliti keamanan siber kembali mengungkap kampanye malware terbaru yang menargetkan situs WordPress. Teknik baru ini menyamarkan malware sebagai plugin keamanan palsu bernama "WP-antymalwary-bot.php".
Menurut laporan dari Marco Wotschka dari Wordfence, plugin berbahaya ini dilengkapi berbagai fungsi untuk mempertahankan akses, menyembunyikan dirinya dari dashboard admin, serta menjalankan kode jarak jauh. Selain itu, malware ini juga dapat menghubungi server command-and-control (C&C), menyebar ke direktori lain, dan menyuntikkan JavaScript berbahaya untuk menayangkan iklan.
Modifikasi dan Nama Plugin yang Beragam
Pertama kali ditemukan saat proses pembersihan situs pada akhir Januari 2025, malware ini kini telah mengalami modifikasi dan muncul dalam beberapa varian lain, seperti:
- addons.php
- wpconsole.php
- wp-performance-booster.php
- scr.php
Setelah aktif, plugin ini memberi penyerang akses admin dan memanfaatkan REST API untuk menyuntikkan kode PHP ke file header tema situs atau menghapus cache dari plugin caching populer.
Versi terbarunya menunjukkan metode baru dalam menyisipkan kode jahat, seperti mengunduh JavaScript dari domain yang telah disusupi, lalu digunakan untuk menayangkan spam atau iklan.
Tak hanya itu, malware ini juga bekerja bersama file berbahaya lain bernama wp-cron.php, yang berfungsi mengaktifkan ulang plugin jahat secara otomatis saat situs diakses kembali, bahkan setelah file utamanya dihapus dari direktori plugin.
Hingga kini, belum diketahui secara pasti bagaimana situs-situs tersebut dapat disusupi, atau siapa aktor di balik serangan ini. Namun, ditemukannya komentar dan pesan berbahasa Rusia memberi indikasi bahwa pelakunya berasal dari komunitas penyerang berbahasa Rusia.
Serangan Web Lain yang Muncul Bersamaan
Bersamaan dengan temuan ini, Sucuri juga melaporkan kampanye skimmer web yang memanfaatkan domain font palsu "italicfonts[.]org". Domain ini menampilkan form pembayaran palsu di halaman checkout untuk mencuri data pengguna dan mengirimkannya ke server penyerang.
Dalam serangan lainnya, situs e-commerce Magento menjadi sasaran malware JavaScript yang kompleks dan bertahap, digunakan untuk mencuri informasi sensitif. Salah satu taktiknya adalah menyamarkan skrip PHP sebagai file gambar GIF, yang berfungsi sebagai reverse proxy untuk mencatat data dari pengunjung, termasuk data kartu kredit dan login.
Peneliti Ben Martin menyebutkan bahwa malware ini bahkan membaca sessionStorage di browser dan mengutak-atik lalu lintas situs menggunakan proxy jahat.
Penyisipan Iklan dan Backdoor Node.js
Dalam serangan terpisah, pelaku juga terlihat menyuntikkan kode Google AdSense ke setidaknya 17 situs WordPress untuk menampilkan iklan yang tidak diinginkan dan menghasilkan uang melalui klik atau tayangan iklan. Dalam beberapa kasus, mereka bahkan mencuri pendapatan iklan dari pemilik situs.
“Penyerang menggunakan sumber daya situs Anda untuk menayangkan iklan mereka sendiri. Jika Anda menggunakan AdSense, mereka bahkan bisa mencuri penghasilan Anda,” ujar peneliti Puja Srivastava.
Lebih lanjut, ditemukan juga teknik penyamaran baru yang menampilkan verifikasi CAPTCHA palsu untuk menipu pengguna agar mengunduh backdoor berbasis Node.js. Setelah diinstal, malware ini mengumpulkan informasi sistem, memberikan akses jarak jauh, dan memasang Remote Access Trojan (RAT) dengan kemampuan tunneling lalu lintas melalui SOCKS5 proxy.
Aktivitas ini dikaitkan dengan sistem distribusi lalu lintas (TDS) bernama Kongtuke, yang juga dikenal sebagai 404 TDS, Chaya_002, LandUpdate808, dan TAG-124.