Neue Linux-Malware nutzt Hintertüren zu über 30 Plugins auf WordPress-Seiten aus

Das jüngste Auftauchen einer neuen Linux-Malware ist für Webmaster und Website-Administratoren ein Grund zur Sorge. Der unbekannte bösartige Code nutzt über 30 Plugins aus, um sich durch eine Hintertür Zugang zu WordPress-Sites zu verschaffen. Cyber-Sicherheitsexperten zufolge könnte diese Schwachstelle von Hackern für bösartige Aktivitäten genutzt werden, die von Datendiebstahl und -manipulation bis hin zu verteilten Denial-of-Service-Angriffen (DDoS) reichen.

Die Malware wurde mit ausgeklügelten Umgehungsfunktionen entwickelt, um die meisten Anti-Malware-Lösungen zu umgehen. Sie zielt hauptsächlich auf WordPress-Websites ab, auf denen anfällige Plugins laufen oder die nicht die neuesten Patches installiert haben. Dieser unbekannte Exploit sucht auch nach falsch konfigurierten WordPress-Websites mit ungeschützten Authentifizierungsseiten und führt Brute-Force-Angriffe gegen diese durch, um sich Zugang zu diesen Systemen zu verschaffen. Dort angekommen, richtet er einen Backdoor-Zugang ein, den Angreifer jederzeit ausnutzen können.

Die folgenden Plugins und Themes sind betroffen:

• WP Live Chat Support Plugin
• WP GDPR Compliance Plugin
• WordPress - Yuzo Verwandte Beiträge
• Yellow Pencil Visual Theme Customizer Plugin
• Hybride
• Easysmtp
• WP GDPR Compliance Plugin
• Zeitungs-Theme auf WordPress Zugriffskontrolle (CVE-2016-10972)
• Thim Kern
• Faceboor Live Chat von Zotabox
• Google Code Inserter
• Plugin für Gesamtspenden
• Post Custom Templates Lite
• WP Quick Booking Manager\
• Demnächst erscheinende Seite und Wartungsmodus
• Faceboor Live Chat von Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (CVE-2019-17232 und CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes für Visual Composer
• WP Live Chat
• Demnächst erscheinende Seite und Wartungsmodus

Angenommen, auf der Ziel-Website läuft eine veraltete und anfällige Version eines der oben genannten Plugins. In diesem Fall holt sich die Malware automatisch bösartiges JavaScript von ihrem Command-and-Control-Server (C2) und injiziert das Skript in die Website.

Die infizierten Seiten dienen als Weiterleitung zu einem Ort nach Wahl des Angreifers, so dass die Methode am besten auf verlassenen Websites funktioniert.

Diese Umleitungen können in Phishing-, Malware-Verteilungs- und Malvertising-Kampagnen eingesetzt werden, um die Erkennung und Blockierung zu umgehen. Allerdings könnten die Betreiber des Autoinjektors ihre Dienste an andere Cyberkriminelle verkaufen.

Eine aktualisierte Version des Schadprogramms zielt auch auf die folgenden WordPress-Add-ons ab:

• Brizy WordPress Plugin
• FV Flowplayer Video-Spieler
• WooCommerce
• WordPress "Demnächst"-Seite
• WordPress-Theme OneTone
• Einfache Felder WordPress Plugin
• FV Flowplayer Video-Spieler
• WordPress Delucks SEO-Plugin
• Umfrage, Umfrage, Formular & Quiz Maker von OpinionStage
• Tracker für soziale Metriken
• Plugin für umfangreiche Bewertungen
• WPeMatico RSS-Feed-Fänger
• Plugin für umfangreiche Bewertungen

Um sich gegen diese Bedrohung zu schützen, müssen die Administratoren von WordPress-Websites auf die neueste verfügbare Version der Themes und Plugins aktualisieren, die auf der Website laufen, und diejenigen, die nicht mehr entwickelt werden, durch unterstützte Alternativen ersetzen.

Die Verwendung von sicheren Passwörtern und die Aktivierung des Zwei-Faktor-Authentifizierungsmechanismus sollten den Schutz vor Brute-Force-Angriffen gewährleisten.