後門程式利用盜版外掛散佈，感染力強成WordPress最大威脅[轉載自iThome]

安全廠商發現一隻名為WP-VCD的後門程式，近日借盜版外掛程式在網路快速散佈，而其超強感染力，也成為WordPress網站近來最主要威脅。

Wordfence近日觀察到WP-VCD近幾周積極鎖定WordPress網站感染。研究人員指出，這隻木馬程式也是今年8月以來感染WordPress的惡意程式中，感染率最高的，而且這波攻擊迄今仍然沒有降速跡象。

研究人員指出，WP-VCD的程式碼及功能經過多重演化，不過主要獲利模式都是靠搜尋引擎最佳化（SEO）技倆，以名列搜尋引擎結果頁最上方，或是在網站中注入惡意廣告程式碼，藉網站重導向或彈出式廣告，將用戶導到這些網站下載而散佈。

在最近這波攻擊中，WP-VCD藏在盜版佈景主題及外掛程式中散佈。它是來自一群號稱可免費下載知名外掛程式及佈景主題的盜版網站，研究人員相信這些網站都是WP-VCD作者所經營，吸引網站開發人員下載，包括www[.]download-freethemes[.]download、www[.]nulledzip[.]download、www[.]themesfreedownload[.]top等。

一旦感染WordPress網站，WP-VCD將進行多重危害。首先它會以100010010為名建立後門程式帳號，方便駭客存取WordPress網站。其次，如果WordPress管理員試用了盜版佈景主題，這隻後門程式會感染網站上所有佈景主題，如果他沒試用，WP-VCD程式碼還是能在其他佈景主題中執行。第三，若這個WordPress網站是代管在某個公有雲或資料中心機器上，則WP-VCD還會散佈到底層伺服器，藉此感染同一台伺服器上的其他無辜網站。

駭客藉由感染眾多伺服器建構殭屍電腦網路，而在背景運作下WP-VCD會將這些受感染機器與外部C&C伺服器建立連線，聽候駭客日後發動指令。

安全公司也在白皮書中分享了YARA Rules，協助企業及網站管理員偵測WP-VCD。