워드프레스용 보안 플러그인인 워드펜스(Wordfence)를 개발하는 디피안트(Defiant)가 진짜 워드프레스 플러그인으로 꾸며 다양한 작업을 수행할 수 있는 고급 백도어 역할을 하는 멀웨어 존재를 밝혔다.
해당 멀웨어 기능은 먼저 사용자 만들기. 하드코딩된 암호와 관리자 수준 권한을 가진 사용자(superadmin)를 만들 수 있다. 또 사이트 탈취에 성공한 뒤에는 멀웨어 감염 흔적을 지우기 위해 아이디를 삭제해 검출 가능성을 낮추는 기능도 탑재하고 있다.
2번째 기능은 봇 검출. 방문자가 검색엔진 크롤러 같은 봇이라고 인식하면 스팸 같은 콘텐츠를 제공해 악성 콘텐츠 색인을 생성한다. 사이트 관리자가 보면 갑자기 트래픽이 증가하거나 위험한 사이트로 리디렉션된다는 불만이 오게 된다.
3번째는 콘텐츠 교체. 워드프레스에서 게시 페이지에 면책 조항을 추가하거나 다른 콘텐츠 또는 페이지를 삽입할 때 사용하는 함수를 악용해 로그인한 사용자가 관리자가 아닌 경우 스팸 링크 또는 버튼을 추가한다.
4번째는 플러그인 제어. 모든 워드프레스 플러그인을 원격으로 활성화, 비활성화할 수 있다. 또 멀웨어 감염 흔적을 지우기 위해 활동이 숨겨진다. 5번째는 원격 호출. 특정 사용자 에이전트 문자열을 검사해 공격자가 다양한 악의적 기능을 원격으로 활성화할 수 있도록 한다.
이런 기능을 활용해 공격자는 탈취한 사이트 SEO 순위나 사용자 프라이버시를 희생하면서 사이트를 원격 제어해 수익화에 필요한 모든 걸 빨아들인다고 한다. 디피안트는 해당 멀웨어에 감염된 사이트 수를 밝히지 않았지만 워드펜스 무료 버전 사용자에게 검색 시그니처를 제공한다. 또 유료 버전 사용자를 위해 사용자를 백도어로부터 보호하는 방화벽 규칙을 추가했다고 한다. 관련 내용은 이곳에서 확인할 수 있다.