Οι ερευνητές της Dr.Web ανακάλυψαν ένα Linux backdoor malware που άγνωστοι χρησιμοποίησαν για να επιτεθούν σε ιστότοπους που έχουν δημιουργηθεί με το γνωστό CMS WordPress. Εκμεταλλευόμενοι ευπάθειες σε 30 πρόσθετα και θέματα, είναι δυνατό να μεταφέρουν ανυποψίαστους χρήστες σε εξωτερικούς ιστότοπους και να εκτελούν διάφορες παράνομες δραστηριότητες. Η συμβουλή είναι να εγκαταστήσετε μια λύση ασφαλείας που εμποδίζει την πρόσβαση σε επικίνδυνους ιστότοπους.
Linux backdoors για ιστότοπους WordPress
Το WordPress είναι ένα από τα πιο δημοφιλή CMS, οπότε αποτελεί επίσης αγαπημένο στόχο για τους εγκληματίες. Το κακόβουλο λογισμικό που ανακάλυψαν οι ερευνητές της Dr.Web είναι συμβατό με ιστότοπους που βασίζονται σε Linux 32 και 64 bit. Η κύρια λειτουργία του είναι να παίρνει τον έλεγχο εξ αποστάσεως, εισάγοντας κώδικα JavaScript σε ιστοσελίδες.
Αφού λάβει από τον διακομιστή C2C (command and control) τη διεύθυνση του ιστότοπου που πρόκειται να μολυνθεί, ελέγχει την παρουσία αυτών των plugins και θεμάτων με γνωστές ευπάθειες:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
Εάν εντοπιστεί, το κακόβουλο λογισμικό εκμεταλλεύεται την ευπάθεια για να εισάγει κώδικα JavaScript που εκτελείται κατά τη φόρτωση της σελίδας. Εάν ο χρήστης κάνει κλικ οπουδήποτε, ανοίγει ένας ιστότοπος που ελέγχεται από εγκληματίες. Μια πιο πρόσφατη έκδοση αναζητά ευπάθειες στα ακόλουθα πρόσθετα:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Οι εξωτερικοί ιστότοποι μπορούν να χρησιμοποιηθούν για την κλοπή προσωπικών δεδομένων του χρήστη (phishing) ή για τη διανομή άλλου κακόβουλου λογισμικού. Και οι δύο εκδόσεις έχουν μια ανενεργή λειτουργία που επιτρέπει επιθέσεις brute force για την αναζήτηση του κωδικού πρόσβασης διαχειριστή.
