Egy eddig ismeretlen Linux malware-törzs WordPress alapú weboldalakat vett célba. Több mint két tucat bővítmény és téma hibáit kihasználva veszélyezteti a sebezhető rendszereket.

Ha az oldalak az érintett bővítmények elavult verzióit használják - amelyekből hiányoznak a kulcsfontosságú javítások-, a malware, a célzott weboldalakba rosszindulatú JavaScripts-eket juttat be. Ennek eredményeként, amikor a felhasználók a megtámadott weboldal bármely területére kattintanak, más oldalakra irányítják át őket.

A támadások során fegyverként használják az ismert biztonsági rések listáját 19 különböző pluginban és témában, amelyek valószínűleg egy WordPress webhelyre vannak telepítve, és ennek segítségével olyan implantátumot telepítenek, amely egy adott webhelyet célozhat meg a hálózat további kiterjesztése érdekében.

Emellett a malware képes egy távoli szerverről lekért JavaScript-kód befecskendezésére is, hogy a webhely látogatóit a támadó által kiválasztott tetszőleges webhelyre irányítsa át.

A Doctor Web állítása szerint, azonosította a backdoor második verzióját, amely egy új parancs- és vezérlési (C2) tartományt használ, valamint a hibák frissített listáját, amely 11 további bővítményre terjed ki, így összesen 30-ra emelkedett az ismert biztonsági rések száma.

A célzott bővítmények és WordPress témák az alábbiak:

• WP Live Chat Support

• Yuzo Related Posts

• Yellow Pencil Visual CSS Style Editor

• Easy WP SMTP

• WP GDPR Compliance

• Newspaper (CVE-2016-10972)

• Thim Core

• Smart Google Code Inserter

• Total Donations

• Post Custom Templates Lite

• WP Quick Booking Manager

• Live Chat with Messenger Customer Chat by Zotabox

• Blog Designer

• WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)

• WP-Matomo Integration (WP-Piwik)

• ND Shortcodes

• WP Live Chat

• Coming Soon Page és Maintenance Mode

• Hybrid

• Brizy

• FV Flowplayer Video Player

• WooCommerce

• Coming Soon Page & Maintenance Mode

• Onetone

• Simple Fields

• Delucks SEO

• Poll, Survey, Form & Quiz Maker by OpinionStage

• Social Metrics Tracker

• WPeMatico RSS Feed Fetcher

• Rich Reviews

Állítólag mindkét malware változat tartalmaz egy nem megvalósított brute force-támadási* módszert, a WordPress adminisztrátori fiókok ellen, bár nem világos, hogy ez egy korábbi verzió maradványa-e, vagy egy olyan funkció, amely még nem látott napvilágot.

"Ha egy ilyen lehetőség beépül a hátsó ajtó (back door) újabb verzióiba, akkor a kiberbűnözők akár sikeresen támadhatnak néhány olyan webhelyet is, amelyek a jelenlegi, javított sebezhetőségű plugin-verziókat használják" - közölte a vállalat.

A WordPress-felhasználóknak ajánlott a platform minden komponensét naprakészen tartani, beleértve a harmadik féltől származó kiegészítőket és témákat is. Azt is tanácsolják, hogy erős és egyedi bejelentkezési adatokat és jelszavakat használjanak fiókjaik védelmére. Ennek fontosságágról is mi is írtunk korábban.

A közzététel hetekkel azután történt, hogy a Fortinet FortiGuard Labs részletesen bemutatott egy másik, GoTrim nevű botnetet, amelyet arra terveztek, hogy a WordPress tartalomkezelő rendszert (CMS-t) használó, saját üzemeltetésű weboldalakat feltörve, átvegye az irányítást a célzott rendszerek felett.

Két hónappal ezelőtt a Sucuri figyelmeztetett, hogy több mint 15 000 WordPress webhelyet törtek fel, egy olyan rosszindulatú támadás-sorozat részeként, amely a látogatókat hamis kérdőív portálokra irányította át. Az aktív fertőzések száma jelenleg 9.314. (2023. Január 3-án.)

A GoDaddy tulajdonában lévő webhelybiztonsági vállalat 2022 júniusában szintén megosztott információkat, egy Parrot nevű forgalomirányító rendszerről (TDS), aminél megfigyelték, hogy a WordPress-oldalakat csaló JavaScript-ek segítségével célozza meg, amelyek további rosszindulatú szoftvereket adnak hozzá a feltört rendszerekhez.

Amennyiben segítségre van szüksége saját rendszereinek védelme érdekében, keressen minket bizalommal.

*A brute force-támadás (szó szerint angol nyelven: „nyers erő”), más néven a teljes kipróbálás módszere, egy, a titkosító rendszerekkel szemben alkalmazott támadási mód, ami elvileg mindig eredményes.

Forrás: The Hacker News