Otkriven novi (dugogodišnji) WordPress malware
Nedavno je otkriven novi malware koji koristi bezbednosne propuste u tridesetak različitih WordPress plugin-ova. Do sada je inficirao hiljade WordPress zasnovanih sajtova, a procenjuje se da je aktivan godinama.
Ovaj malware instalira backdoor koji funkcioniše tako što redirektuje korisnike ka malicioznim sajtovima. Takođe, on je u stanju da isključi logove koji bi mogli da ga otkriju, može da ode u standby mod, pa čak i da se potpuno isključi po potrebi, što su glavni razlozi zašto se teško otkriva. Instalira se kroz bezbednosne propuste u plugin-ovima, preko kojih webmasteri aktiviraju dodatne funkcionalnosti na svojim sajtovima, kao što su sistemi za četovanje, razne metrike… Na takvim sajtovima se „ubacuje“ maliciozni JavaScript, a istraživači iz kompanije Dr.Web su otkrili najmanje 1.300 zaraženih sajtova.
Plugin moduli kroz čije bezbednosne propuste može da se instalira ovaj malware su:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Facebook Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Ako se iskoristi neki od propusta u pomenutim plugin-ovima, maliciozni JavaScript kod se preuzima sa udaljenog servera. Taj JavaScript se pokreće prvi, pre originalnog sadržaja stranice. A kada se to desi, kad god korisnik klikne na neki link na inficiranoj stranici, on se preusmerava na neki od sajtova koje je definisao napadač. Otkriveno je da su u pitanju domeni:
- lobbydesires[.]com
- letsmakeparty3[.]ga
- deliverygoodstrategies[.]com
- gabriellalovecats[.]com
- css[.]digestcolect[.]com
- clon[.]collectfasttracks[.]com
- Count[.]trackstatisticsss[.]com
Istraživači su otkrili dve verzije backdoor-a – Linux.BackDoor.WordPressExploit.1 i Linux.BackDoor.WordPressExploit.2, a navode da je malware aktivan duže od tri godine.
Izvor: ArsTechnica