BIZIT 11 - prvi dan

Otkriven novi (dugogodišnji) WordPress malware

Nedavno je otkriven novi malware koji koristi bezbednosne propuste u tridesetak različitih WordPress plugin-ova. Do sada je inficirao hiljade WordPress zasnovanih sajtova, a procenjuje se da je aktivan godinama.

wordpress

Ovaj malware instalira backdoor koji funkcioniše tako što redirektuje korisnike ka malicioznim sajtovima. Takođe, on je u stanju da isključi logove koji bi mogli da ga otkriju, može da ode u standby mod, pa čak i da se potpuno isključi po potrebi, što su glavni razlozi zašto se teško otkriva. Instalira se kroz bezbednosne propuste u plugin-ovima, preko kojih webmasteri aktiviraju dodatne funkcionalnosti na svojim sajtovima, kao što su sistemi za četovanje, razne metrike… Na takvim sajtovima se „ubacuje“ maliciozni JavaScript, a istraživači iz kompanije Dr.Web su otkrili najmanje 1.300 zaraženih sajtova.

Plugin moduli kroz čije bezbednosne propuste može da se instalira ovaj malware su:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Facebook Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin
Pročitajte i:  Više od milion Android TV bokseva inficirano sa Vo1d malware-om

Ako se iskoristi neki od propusta u pomenutim plugin-ovima, maliciozni JavaScript kod se preuzima sa udaljenog servera. Taj JavaScript se pokreće prvi, pre originalnog sadržaja stranice. A kada se to desi, kad god korisnik klikne na neki link na inficiranoj stranici, on se preusmerava na neki od sajtova koje je definisao napadač. Otkriveno je da su u pitanju domeni:

  • lobbydesires[.]com
  • letsmakeparty3[.]ga
  • deliverygoodstrategies[.]com
  • gabriellalovecats[.]com
  • css[.]digestcolect[.]com
  • clon[.]collectfasttracks[.]com
  • Count[.]trackstatisticsss[.]com

Istraživači su otkrili dve verzije backdoor-a – Linux.BackDoor.WordPressExploit.1 i Linux.BackDoor.WordPressExploit.2, a navode da je malware aktivan duže od tri godine.

Izvor: ArsTechnica

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,