Неизвестен досега злонамерен софтуер за Linux експлоатира 30 уязвимости в множество остарели плъгини и теми на WordPress, за да инжектира злонамерен JavaScript.
Според доклад на доставчика на антивирусна програма Dr. Web злонамереният софтуер е насочен както към 32-битови, така и към 64-битови Linux системи, като дава на своя оператор възможности за отдалечени команди.
Основната функционалност на троянския кон е да хаква WordPress сайтове с помощта на набор от твърдо кодирани експлойти, които се изпълняват последователно, докато един от тях заработи.
Целевите добавки и теми са следните:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related
- PostsYellow Pencil Visual Theme
- Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress
- Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ
- (CVE-2019-17232 and
- CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For
- Visual Composer
- WP Live Chat
- Coming Soon Page and
- Maintenance Mode
- Hybrid
Ако целевият уебсайт изпълнява остаряла и уязвима версия на някое от горните, зловредният софтуер автоматично извлича злонамерен JavaScript от своя команден и контролен (C2) сървър и инжектира скрипта в сайта на уебсайта.
Заразените страници действат като пренасочващи към местоположение по избор на атакуващия, така че схемата работи най-добре на изоставени сайтове.
Тези пренасочвания може да служат за фишинг, разпространение на злонамерен софтуер и кампании за злонамерена реклама, за да помогнат за избягване на откриване и блокиране. Въпреки това операторите на автоинжектора може да продават услугите си на други киберпрестъпници.
Актуализирана версия на полезния товар, който Dr. Web наблюдава в природата, също е насочена към следните добавки на WordPress:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Новите добавки, към които е насочен новият вариант, показват, че разработката на задната врата е активна в момента.
Dr. Web също така споменава, че и двата варианта съдържат функционалност, която в момента е неактивна, което би позволило груби атаки срещу акаунти на администратори на уебсайтове.
Защитата срещу тази заплаха изисква администраторите на уебсайтове на WordPress да актуализират до най-новата налична версия темите и плъгините, работещи на сайта, и да заменят тези, които вече не са разработени, с алтернативи, които се поддържат.
Използването на силни пароли и активирането на механизма за двуфакторно удостоверяване трябва да осигури защита срещу груби атаки.
