Em uma tentativa de injetar JavaScript malicioso em plug-ins e temas desatualizados do WordPress, um malware desconhecido para Linux detectado anteriormente foi encontrado explorando 30 vulnerabilidades.
O site alvo é injetado com código JavaScript malicioso se alguma versão desatualizada dos complementos vulneráveis for usada no site, pois eles não possuem correções cruciais e, portanto, não funcionam corretamente.
Conseqüentemente, quando um usuário clica em qualquer parte de um site infectado, ele é redirecionado para outro site, como um site malicioso. O malware pode ser acessado remotamente por seu operador em sistemas Linux de 32 e 64 bits, conforme relatado pela empresa de segurança Dr.
Este malware é classificado como Linux.BackDoor.WordPressExploit.1, e esse backdoor é totalmente controlado remotamente por atores mal-intencionados. Quando recebe o comando apropriado, é capaz de realizar as seguintes ações ilícitas para os atores da ameaça:-
- Atacar uma página da web específica (site)
- Switch para o modo de espera
- Desligue-se
- Pausar o registro de suas ações
Principalmente, o trojan opera explorando sites WordPress usando um conjunto de vulnerabilidades codificadas que são executadas sequencialmente até obter sucesso. Dr. Pesquisadores da Web disse.
Plug-ins e temas direcionados
Estes são os plug-ins e temas que estão sendo direcionados: –
- Plug-in de suporte para chat ao vivo WP
- WordPress – Postagens relacionadas ao Yuzo
- Plug-in personalizador de tema visual de lápis amarelo
- Easysmtp
- Plug-in de conformidade WP GDPR
- Tema de jornal no controle de acesso do WordPress (vulnerabilidade CVE-2016-10972)
- Núcleo Thim
- Insersor de código do Google
- Plug-in de doações totais
- Postar modelos personalizados Lite
- Gerenciador de reservas rápidas WP
- Bate-papo ao vivo do Facebook por Zotabox
- Plug-in WordPress para designers de blogs
- Perguntas frequentes do WordPress Ultimate (vulnerabilidades CVE-2019-17232 e CVE-2019-17233)
- Integração WP-Matomo (WP-Piwik)
- Códigos de acesso WordPress ND para Visual Composer
- Bate-papo ao vivo WP
- Em breve página e modo de manutenção
- Híbrido
Existe a possibilidade de que se um vulnerabilidade for explorado com sucesso, o JavaScript malicioso baixado de um local remoto será injetado na página de destino e a página será infectada.
Ao fazer isso, o JavaScript é injetado para que, independentemente do conteúdo original da página, esse JavaScript seja iniciado primeiro, quando a página infectada for carregada.
Nessa situação, sempre que o usuário clicar em qualquer parte da página infectada, ele será redirecionado para o site que os invasores desejam que o usuário visite assim que a página infectada for carregada.
Pesquisadores de segurança cibernética também descobriram o “Linux.BackDoor.WordPressExploit.2” deste trojan em combinação com sua modificação atual do aplicativo trojan.
Há uma lista adicional de vulnerabilidades exploradas para os seguintes plug-ins, bem como uma alteração no Servidor C&C e endereço de domínio. Abaixo mencionamos os plug-ins: –
- Plug-in Brizy para WordPress
- Reprodutor de vídeo FV Flowplayer
- WooCommerce
- Página WordPress em breve
- Tema WordPress OneTone
- Plug-in WordPress de campos simples
- Plug-in WordPress Delucks SEO
- Criador de enquetes, pesquisas, formulários e questionários da OpinionStage
- Rastreador de métricas sociais
- Buscador de feeds RSS WPeMatico
- Plug-in de avaliações ricas
Há uma série de novos complementos direcionados à nova variante, o que indica que o desenvolvimento de backdoor está ativo no momento, conforme evidenciado pela nova variante.
Para se proteger contra ataques de força bruta, é imperativo que senhas fortes sejam usadas junto com a autenticação de dois fatores.