Un nuovo malware Linux utilizza 30 exploit di plug-in per eseguire backdoor sui siti WordPress
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 2 Gennaio 2023
Tags: #sicurezza, #Linux, #malware, #Wordpress
Tags: #sicurezza, #Linux, #malware, #Wordpress
Un nuovo malware Linux utilizza 30 exploit di plug-in per eseguire backdoor sui siti WordPress
Un malware Linux precedentemente sconosciuto ha sfruttato 30 vulnerabilità in più plug-in e temi WordPress obsoleti per iniettare JavaScript dannoso.
Secondo un rapporto del fornitore di antivirus Dr. Web, il malware prende di mira sia i sistemi Linux a 32 bit che a 64 bit, offrendo al suo operatore capacità di comando remoto.
La funzionalità principale del trojan è hackerare i siti WordPress utilizzando una serie di exploit hardcoded che vengono eseguiti successivamente, finché uno di essi non funziona.
I plugin e i temi mirati sono i seguenti:
Plugin per il supporto della chat live di WP
WordPress – Articoli correlati a Yuzo
Plugin per la personalizzazione del tema visivo della matita gialla
Easysmtp
Plug-in per la conformità al GDPR di WP
Tema del giornale sul controllo degli accessi di WordPress (CVE-2016-10972)
Thim Core
Inseritore codice Google
Plug-in Donazioni totali
Pubblica modelli personalizzati Lite
Gestore delle prenotazioni rapide WP
Facebook Live Chat di Zotabox
Plug-in WordPress per designer di blog
Domande frequenti su WordPress Ultimate (CVE-2019-17232 e CVE-2019-17233)
Integrazione WP-Matomo (WP-Piwik)
Shortcode WordPress ND per Visual Composer
WP chat dal vivo
Prossimamente Pagina e modalità di manutenzione
Ibrido
Se il sito Web di destinazione esegue una versione obsoleta e vulnerabile di uno dei precedenti, il malware recupera automaticamente JavaScript dannoso dal suo server di comando e controllo (C2) e inserisce lo script nel sito Web.
Le pagine infette fungono da reindirizzamenti verso una posizione scelta dall'attaccante, quindi lo schema funziona meglio sui siti abbandonati.
Questi reindirizzamenti possono servire in campagne di phishing, distribuzione di malware e malvertising per aiutare ad eludere il rilevamento ed il blocco.
Detto questo, gli operatori dell'autoiniettore potrebbero vendere i loro servizi ad altri criminali informatici.
Una versione aggiornata del payload che Dr. Web ha osservato in natura prende di mira anche i seguenti componenti aggiuntivi di WordPress:
Brizy WordPress Plugin
Riproduttore video FV Flowplayer
WooCommerce
WordPress Prossimamente pagina
Tema WordPress OneTone
Plugin di WordPress per campi semplici
WordPress Delucks plug-in SEO
Creatore di sondaggi, sondaggi, moduli e quiz di OpinionStage
Monitoraggio delle metriche sociali
WPeMatico RSS Feed Fetcher
Plug-in Recensioni ricche
I nuovi componenti aggiuntivi presi di mira dalla nuova variante indicano che lo sviluppo della backdoor è attivo al momento.
Dr. Web afferma inoltre che entrambe le varianti contengono funzionalità attualmente inattive, che consentirebbero attacchi di forza bruta contro gli account dell'amministratore del sito Web.
Per difendersi da questa minaccia, gli amministratori dei siti Web WordPress devono aggiornare all'ultima versione disponibile i temi e i plug-in in esecuzione sul sito e sostituire quelli non più sviluppati con alternative supportate.
L'utilizzo di password complesse e l'attivazione del meccanismo di autenticazione a due fattori dovrebbero garantire la protezione dagli attacchi di forza bruta.