Un nuevo malware para Linux explota puertas traseras en más de 30 plugins de sitios WordPress

La reciente aparición de un nuevo malware para Linux es motivo de alarma entre los webmasters y administradores de sitios web. El código malicioso desconocido aprovecha más de 30 plugins para obtener acceso de puerta trasera a sitios de WordPress. Según los expertos en ciberseguridad, este exploit podría ser utilizado por piratas informáticos para actividades maliciosas que van desde el robo y la manipulación de datos hasta ataques de denegación de servicio distribuidos (DDoS).

El malware está diseñado con sofisticadas capacidades de evasión para eludir la mayoría de las soluciones antimalware. Se dirige principalmente a sitios web de WordPress que ejecutan plugins vulnerables o que no tienen instalados los últimos parches. Este exploit desconocido también busca sitios de WordPress mal configurados con páginas de autenticación expuestas y realiza ataques de fuerza bruta contra ellas para entrar en estos sistemas. Una vez dentro, procede a configurar un acceso de puerta trasera, que los atacantes remotos pueden explotar en cualquier momento.

Los plugins y temas seleccionados son los siguientes:

• WP Live Chat Support Plugin
• Plugin WP GDPR Compliance
• WordPress - Yuzo Related Posts
• Lápiz amarillo Visual Theme Customizer Plugin
• Híbrido
• Easysmtp
• Plugin WP GDPR Compliance
• Tema de periódico en WordPress Control de acceso (CVE-2016-10972)
• Thim Core
• Faceboor Live Chat de Zotabox
• Google Code Inserter
• Plugin de donaciones totales
• Publicar plantillas personalizadas Lite
• WP Quick Booking Manager\
• Página Coming Soon y modo de mantenimiento
• Faceboor Live Chat de Zotabox
• Blog Designer WordPress Plugin
• FAQ de WordPress Ultimate (CVE-2019-17232 y CVE-2019-17233)
• Integración WP-Matomo (WP-Piwik)
• WordPress ND Shortcodes Para Visual Composer
• Chat en vivo WP
• Página Coming Soon y modo de mantenimiento

Supongamos que el sitio web objetivo ejecuta una versión obsoleta y vulnerable de cualquiera de los plugins mencionados. En ese caso, el malware obtiene automáticamente JavaScript malicioso de su servidor de comando y control (C2) e inyecta el script en el sitio web.

Las páginas infectadas actúan como redireccionadores a una ubicación elegida por el atacante, por lo que el esquema funciona mejor en sitios abandonados.

Estas redirecciones pueden servir en campañas de phishing, distribución de malware y malvertising para ayudar a evadir la detección y el bloqueo. Dicho esto, los operadores del autoinyector podrían estar vendiendo sus servicios a otros ciberdelincuentes.

Una versión actualizada de la carga útil también afecta a los siguientes complementos de WordPress:

• Plugin Brizy para WordPress
• Reproductor de vídeo FV Flowplayer
• WooCommerce
• Página Coming Soon de WordPress
• Tema de WordPress OneTone
• Simple Fields WordPress Plugin
• Reproductor de vídeo FV Flowplayer
• Plugin WordPress Delucks SEO
• Creador de encuestas, formularios y cuestionarios de OpinionStage
• Rastreador de métricas sociales
• Plugin Rich Reviews
• Captador de feeds RSS WPeMatico
• Plugin Rich Reviews

Para defenderse de esta amenaza, los administradores de sitios web WordPress deben actualizar a la última versión disponible los temas y plugins que se ejecutan en el sitio y sustituir los que ya no se desarrollan por alternativas compatibles.

El uso de contraseñas seguras y la activación del mecanismo de autenticación de dos factores deberían garantizar la protección contra los ataques de fuerza bruta.