Un nuovo malware per Linux sfrutta le backdoor di oltre 30 plugin sui siti WordPress

La recente comparsa di un nuovo malware per Linux è motivo di allarme per i webmaster e gli amministratori di siti web. Il codice maligno sconosciuto sfrutta oltre 30 plugin per ottenere un accesso backdoor ai siti WordPress. Secondo gli esperti di sicurezza informatica, questo exploit potrebbe essere utilizzato dagli hacker per attività dannose che vanno dal furto e dalla manipolazione dei dati agli attacchi DDoS (Distributed Denial of Service).

Il malware è progettato con sofisticate capacità di evasione per eludere la maggior parte delle soluzioni anti-malware. Prende di mira soprattutto i siti WordPress che eseguono plugin vulnerabili o che non installano le patch più recenti. Questo exploit sconosciuto esegue anche la scansione di siti WordPress mal configurati con pagine di autenticazione esposte ed esegue attacchi di forza bruta contro di esse per entrare in questi sistemi. Una volta entrato, procede a impostare un accesso backdoor, che gli aggressori remoti possono sfruttare in qualsiasi momento.

I plugin e i temi mirati sono i seguenti:

• Plugin di supporto per la chat in diretta di WP
• Plugin di conformità GDPR di WP
• WordPress - Yuzo Messaggi correlati
• Plugin per la personalizzazione del tema visivo Yellow Pencil
• Ibrido
• Easysmtp
• Plugin di conformità GDPR di WP
• Tema del giornale su WordPress Controllo degli accessi (CVE-2016-10972)
• Nucleo Thim
• Faceboor Live Chat di Zotabox
• Inseritore di codice Google
• Plugin per le donazioni totali
• Modelli personalizzati Lite
• WP Manager per la prenotazione rapida
• Pagina Coming Soon e modalità di manutenzione
• Faceboor Live Chat di Zotabox
• Plugin WordPress per designer di blog
• WordPress Ultimate FAQ (CVE-2019-17232 e CVE-2019-17233)
• Integrazione WP-Matomo (WP-Piwik)
• WordPress ND Shortcodes per Visual Composer
• WP Chat dal vivo
• Pagina Coming Soon e modalità di manutenzione

Supponiamo che il sito web preso di mira esegua una versione obsoleta e vulnerabile di uno dei plugin sopra citati. In questo caso, il malware recupera automaticamente il codice JavaScript dannoso dal suo server di comando e controllo (C2) e inietta lo script nel sito web.

Le pagine infette fungono da reindirizzatori verso una posizione a scelta dell'aggressore, quindi lo schema funziona meglio sui siti abbandonati.

Questi reindirizzamenti possono essere utilizzati in campagne di phishing, distribuzione di malware e malvertising per eludere il rilevamento e il blocco. Detto questo, gli operatori dell'autoiniettore potrebbero vendere i loro servizi ad altri criminali informatici.

Una versione aggiornata del payload prende di mira anche i seguenti componenti aggiuntivi di WordPress:

• Plugin WordPress Brizy
• Lettore video FV Flowplayer
• WooCommerce
• Pagina Coming Soon di WordPress
• Tema WordPress OneTone
• Plugin WordPress Simple Fields
• Lettore video FV Flowplayer
• Plugin WordPress Delucks SEO
• Creazione di sondaggi, indagini, moduli e quiz da OpinionStage
• Tracciamento delle metriche sociali
• Plugin Rich Reviews
• Recuperatore di feed RSS di WPeMatico
• Plugin Rich Reviews

Per difendersi da questa minaccia, gli amministratori dei siti Web WordPress devono aggiornare all'ultima versione disponibile i temi e i plugin in esecuzione sul sito e sostituire quelli non più sviluppati con alternative supportate.

L'uso di password forti e l'attivazione del meccanismo di autenticazione a due fattori dovrebbero garantire la protezione dagli attacchi di forza bruta.