Eine Analyse von PatchStack, einem auf die Absicherung von WordPress und Open-Source-Software spezialisierten Unternehmen, beschreibt die Schadsoftware als vollwertigen, mehrschichtigen Werkzeugkasten. Dieser ist in die Hauptdatei des Plugins eingebettet, während die normale Funktion von Smart Slider erhalten bleibt.

Den Forschern zufolge erlaubt das Schadpaket einem entfernten Angreifer, ohne Authentifizierung Befehle auszuführen – über speziell präparierte HTTP-Header. Hinzu kommt eine zweite, authentifizierte Backdoor mit PHP-eval- und Betriebssystem-Befehlsausführung sowie ein automatisierter Diebstahl von Zugangsdaten.

Die Schadsoftware sichert ihre Persistenz über mehrere Ebenen. Eine davon ist das angelegte versteckte Administratorkonto, dessen Zugangsdaten in der Datenbank gespeichert werden. Zusätzlich erstellt sie ein Verzeichnis „mu-plugins" und darin ein Must-use-Plugin, dessen Dateiname eine legitime Caching-Komponente vortäuscht. Solche Must-use-Plugins werden automatisch geladen, lassen sich über das WordPress-Dashboard nicht deaktivieren und erscheinen nicht in der Plugin-Übersicht.

Laut PatchStack platziert das Schadpaket außerdem eine Backdoor in der Datei functions.php des aktiven Themes, womit sie aktiv bleibt, solange das Theme verwendet wird. Eine weitere Ebene ist eine PHP-Datei im Verzeichnis wp-includes, deren Name eine legitime WordPress-Kernklasse nachahmt.

„Anders als die übrigen Persistenz-Ebenen ist diese Backdoor nicht auf die WordPress-Datenbank angewiesen, sondern liest ihren Authentifizierungsschlüssel aus einer Datei .cache_key im selben Verzeichnis", erläutern die Forscher von PatchStack. Ein Wechsel der Datenbank-Zugangsdaten setzt diese Hintertür daher nicht außer Gefecht; sie funktioniert weiter, „selbst wenn WordPress nicht vollständig startet".

Für Joomla-Installationen gab der Hersteller eine vergleichbare Warnung aus: Der in Version 3.5.1.35 enthaltene Schadcode kann ein verstecktes Administratorkonto anlegen (meist mit dem Präfix wpsvc_), zusätzliche Backdoors in den Verzeichnissen /cache und /media installieren sowie Seiteninformationen und Zugangsdaten stehlen.

Das schädliche Update wurde am 7. April verteilt; das Smart-Slider-Team empfiehlt jedoch, für die Wiederherstellung aus einem Backup auf den 5. April als sichersten Stichtag zurückzugreifen, um Zeitzonenunterschiede in allen Fällen zu berücksichtigen. Ist kein Backup vorhanden, soll das kompromittierte Plugin entfernt und eine saubere Version (3.5.1.36) installiert werden.

Der Anbieter stellt zudem eine mehrstufige Anleitung zur manuellen Bereinigung für WordPress und Joomla bereit. Sie beginnt damit, die Website in den Wartungsmodus zu versetzen und zu sichern. Anschließend sollen Administratoren unbefugte Admin-Konten und alle schädlichen Komponenten entfernen, sämtliche Kerndateien, Plugins und Themes neu installieren, alle Passwörter zurücksetzen und nach weiterer Schadsoftware suchen. Abschließend empfiehlt der Hersteller, die Website zu härten – etwa durch Zwei-Faktor-Authentifizierung, aktuelle Komponenten, eingeschränkten Admin-Zugriff und starke, einmalige Passwörter.