Il nuovo malware Linux sfrutta le backdoor di oltre 30 plugin sui siti WordPress

La recente comparsa di un nuovo malware Linux è motivo di allarme tra i webmaster e gli amministratori di siti web. Il codice dannoso sconosciuto sfrutta oltre 30 plugin per ottenere l'accesso backdoor ai siti WordPress. Secondo gli esperti di sicurezza informatica, questo exploit potrebbe essere utilizzato dagli hacker per attività dannose che vanno dal furto e dalla manipolazione dei dati agli attacchi DDoS (Distributed Denial of Service).

Il malware è progettato con sofisticate capacità di evasione per aggirare la maggior parte delle soluzioni anti-malware. Si rivolge principalmente ai siti Web WordPress che eseguono plug-in vulnerabili o a quelli che non installano le patch più recenti. Questo exploit sconosciuto esegue anche la scansione dei siti WordPress configurati in modo errato con pagine di autenticazione esposte ed esegue attacchi di forza bruta contro di essi per ottenere l'accesso a questi sistemi. Una volta all'interno, procede a configurare l'accesso backdoor, che gli aggressori remoti possono sfruttare in qualsiasi momento.

I plugin e i temi presi di mira sono i seguenti:

• Plug-in di supporto WP Live Chat
• Plugin per la conformità al GDPR di WP
• WordPress - Yuzo Post correlati
• Plugin per la personalizzazione del tema visivo Yellow Pencil
• Ibrido
• Easysmtp
• Plugin per la conformità al GDPR di WP
• Tema del giornale su Controllo accessi WordPress (CVE-2016-10972)
• Nucleo Thim
• Chat dal vivo di Faceboor di Zotabox
• Inseritore di codice Google
• Plugin per le donazioni totali
• Pubblica modelli personalizzati Lite
• WP Quick Booking Manager
• Pagina Prossimamente e modalità di manutenzione
• Chat dal vivo di Faceboor di Zotabox
• Blog Designer WordPress Plugin
• Domande frequenti su WordPress Ultimate (CVE-2019-17232 e CVE-2019-17233)
• Integrazione WP-Matomo (WP-Piwik)
• Shortcode ND di WordPress per Visual Composer
• WP Chat dal vivo
• Pagina Prossimamente e modalità di manutenzione

Supponiamo che il sito Web di destinazione esegua una versione obsoleta e vulnerabile di uno qualsiasi dei plug-in di cui sopra. In tal caso, il malware recupera automaticamente JavaScript dannoso dal suo server di comando e controllo (C2) e inietta lo script nel sito del sito web.

Le pagine infette agiscono come reindirizzatori verso una posizione scelta dall'attaccante, quindi lo schema funziona meglio sui siti abbandonati.

Questi reindirizzamenti possono essere utilizzati nelle campagne di phishing, distribuzione di malware e malvertising per eludere il rilevamento e il blocco. Detto questo, gli operatori dell'auto-iniettore potrebbero vendere i loro servizi ad altri criminali informatici.

Una versione aggiornata del payload si rivolge anche ai seguenti componenti aggiuntivi di WordPress:

• Brizy WordPress Plugin
• Lettore video FV Flowplayer
• WooCommerce
• Pagina WordPress in arrivo
• Tema WordPress OneTone
• Plugin WordPress per campi semplici
• Lettore video FV Flowplayer
• Plugin SEO Delucks di WordPress
• Creatore di sondaggi, sondaggi, moduli e quiz di OpinionStage
• Tracker delle metriche sociali
• Plugin per recensioni ricche
• WPeMatico Recuperatore di Feed RSS
• Plugin per recensioni ricche

Per difendersi da questa minaccia, gli amministratori dei siti Web WordPress devono aggiornare all'ultima versione disponibile dei temi e dei plug-in in esecuzione sul sito e sostituire quelli non più sviluppati con alternative supportate.

L'utilizzo di password complesse e l'attivazione del meccanismo di autenticazione a due fattori dovrebbero garantire la protezione contro gli attacchi di forza bruta.