Новое вредоносное ПО для Linux использует 30 эксплойтов для взлома сайтов WordPress

Ранее неизвестное вредоносное ПО для Linux использовало 30 уязвимостей в нескольких устаревших плагинах и темах WordPress для внедрения вредоносного ЯваСкрипт.

Новое вредоносное ПО для Linux использует 30 эксплойтов для взлома сайтов WordPress. Фото: СС0

Согласно отчету Dr. Web , вредоносное ПО нацелено как на 32-разрядные, так и на 64-разрядные системы Linux, предоставляя своему оператору возможность удаленного управления.

Основная функциональность троянца заключается в взломе сайтов WordPress с помощью набора жестко запрограммированных эксплойтов, которые запускаются последовательно, пока один из них не сработает.

Целевые плагины и темы следующие:

WP Live Chat Support Plugin
WordPress – Yuzo Related Posts
Yellow Pencil Visual Theme Customizer Plugin
Easysmtp
WP GDPR Compliance Plugin
Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
Thim Core
Google Code Inserter
Total Donations Plugin
Post Custom Templates Lite
WP Quick Booking Manager
Faceboor Live Chat by Zotabox
Blog Designer WordPress Plugin
WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
WordPress ND Shortcodes For Visual Composer
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid

Если на целевом веб-сайте используется устаревшая и уязвимая версия любого из вышеперечисленных, вредоносное ПО автоматически загружает вредоносный ЯваСкрипт со своего сервера управления и контроля (C2) и внедряет скрипт на страницу веб-сайта.

Зараженные страницы действуют как перенаправления в место, выбранное злоумышленником, поэтому схема лучше всего работает на заброшенных сайтах.

Эти перенаправления могут использоваться в кампаниях фишинга, распространения вредоносных программ и вредоносной рекламы, чтобы избежать обнаружения и блокировки. При этом операторы автоинъектора могут продавать свои услуги другим киберпреступникам.

Обновленная версия полезной нагрузки, которую Dr. Web наблюдал в дикой природе, также нацелена на следующие надстройки WordPress:

Brizy WordPress Plugin
FV Flowplayer Video Player
WooCommerce
WordPress Coming Soon Page
WordPress theme OneTone
Simple Fields WordPress Plugin
WordPress Delucks SEO plugin
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher
Rich Reviews plugin

Новые надстройки, на которые нацелен новый вариант, указывают на то, что разработка бэкдора в данный момент активна.

Dr. Web также упоминает, что оба варианта содержат функциональность, которая в настоящее время неактивна, что позволяет проводить атаки методом грубой силы против учетных записей администраторов веб-сайтов.

Для защиты от этой угрозы администраторы веб-сайтов WordPress должны обновить до последней доступной версии темы и плагины, работающие на сайте, и заменить те, которые больше не разрабатываются, на поддерживаемые альтернативы.

Использование надежных паролей и активация механизма двухфакторной аутентификации должны обеспечить защиту от атак грубой силы.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.