Новое вредоносное ПО для Linux использует 30 эксплойтов для взлома сайтов WordPress
Новое вредоносное ПО для Linux использует 30 эксплойтов для взлома сайтов WordPress. Фото: СС0
Согласно отчету Dr. Web , вредоносное ПО нацелено как на 32-разрядные, так и на 64-разрядные системы Linux, предоставляя своему оператору возможность удаленного управления.
Основная функциональность троянца заключается в взломе сайтов WordPress с помощью набора жестко запрограммированных эксплойтов, которые запускаются последовательно, пока один из них не сработает.
Целевые плагины и темы следующие:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
Если на целевом веб-сайте используется устаревшая и уязвимая версия любого из вышеперечисленных, вредоносное ПО автоматически загружает вредоносный ЯваСкрипт со своего сервера управления и контроля (C2) и внедряет скрипт на страницу веб-сайта.
Зараженные страницы действуют как перенаправления в место, выбранное злоумышленником, поэтому схема лучше всего работает на заброшенных сайтах.
Эти перенаправления могут использоваться в кампаниях фишинга, распространения вредоносных программ и вредоносной рекламы, чтобы избежать обнаружения и блокировки. При этом операторы автоинъектора могут продавать свои услуги другим киберпреступникам.
Обновленная версия полезной нагрузки, которую Dr. Web наблюдал в дикой природе, также нацелена на следующие надстройки WordPress:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Новые надстройки, на которые нацелен новый вариант, указывают на то, что разработка бэкдора в данный момент активна.
Dr. Web также упоминает, что оба варианта содержат функциональность, которая в настоящее время неактивна, что позволяет проводить атаки методом грубой силы против учетных записей администраторов веб-сайтов.
Для защиты от этой угрозы администраторы веб-сайтов WordPress должны обновить до последней доступной версии темы и плагины, работающие на сайте, и заменить те, которые больше не разрабатываются, на поддерживаемые альтернативы.
Использование надежных паролей и активация механизма двухфакторной аутентификации должны обеспечить защиту от атак грубой силы.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было