新しいLinuxマルウェア、WordPressサイトの30以上のプラグインにバックドアを悪用

最近、新たなLinuxマルウェアが出現し、ウェブマスターやウェブサイト管理者は警戒を強めている。この未知の悪意あるコードは、30以上のプラグインを悪用し、WordPressサイトへのバックドア・アクセスを行う。サイバーセキュリティの専門家によると、この悪用は、データの窃盗や操作から分散型サービス拒否（DDoS）攻撃まで、悪意のある活動にハッカーによって使用される可能性があるという。

このマルウェアは、ほとんどのマルウェア対策ソリューションを回避できるよう、高度な回避能力を備えて設計されている。このマルウェアは主に、脆弱なプラグインを実行しているWordPressサイトや、最新のパッチをインストールしていないWordPressサイトを標的としています。また、この未知のエクスプロイトは、認証ページが露出している設定ミスのWordPressサイトをスキャンし、ブルートフォース攻撃を実行してこれらのシステムに侵入します。いったん侵入すると、バックドア・アクセスを設定し、リモートの攻撃者がいつでも悪用できるようにします。

対象となるプラグインとテーマは以下の通り：

• WPライブチャットサポートプラグイン
• WP GDPR対応プラグイン
• ワードプレス - 雄三 関連記事
• Yellow Pencil Visual Theme Customizer プラグイン
• ハイブリッド
• Easysmtp
• WP GDPR対応プラグイン
• WordPressのアクセス制御に関する新聞テーマ（CVE-2016-10972）
• チムコア
• Faceboorライブチャット by Zotabox
• グーグル・コード・インサーター
• 寄付金プラグイン
• カスタムテンプレートの投稿 Lite
• WP Quick Booking Manager
• カミングスーンページとメンテナンスモード
• Faceboorライブチャット by Zotabox
• ブログデザイナーWordPressプラグイン
• WordPress Ultimate FAQ (CVE-2019-17232 および CVE-2019-17233)
• WP-Matomoの統合（WP-Piwik）
• Visual Composer用WordPress NDショートコード
• WPライブチャット
• カミングスーンページとメンテナンスモード

標的となったウェブサイトが、上記のプラグインのうち、古くて脆弱なバージョンを実行しているとする。その場合、マルウェアは自動的にコマンド・アンド・コントロール（C2）サーバーから悪意のあるJavaScriptを取得し、そのスクリプトをウェブサイトのサイトに注入します。

感染したページは、攻撃者が選んだ場所へのリダイレクターとして機能するため、このスキームは放置されたサイトで最も効果的である。

このようなリダイレクトは、検知やブロックを回避するためのフィッシングやマルウェア配布、不正広告キャンペーンに利用される可能性がある。つまり、自動注射器の運営者は、他のサイバー犯罪者にサービスを販売している可能性がある。

ペイロードの更新版は、以下のWordPressアドオンも標的にしています：

• Brizy WordPress プラグイン
• FV Flowplayer ビデオプレーヤー
• ウーコマース
• ワードプレスのカミングスーンページ
• WordPressテーマOneTone
• Simple Fields WordPress プラグイン
• FV Flowplayer ビデオプレーヤー
• WordPress Delucks SEOプラグイン
• OpinionStageによる世論調査、アンケート、フォーム＆クイズメーカー
• ソーシャル・メトリクス・トラッカー
• Rich Reviews プラグイン
• WPeMatico RSSフィードフェッチャー
• Rich Reviews プラグイン

この脅威から身を守るには、WordPressウェブサイトの管理者が、サイト上で動作しているテーマやプラグインを利用可能な最新バージョンに更新し、サポートが終了したテーマやプラグインを代替品に置き換える必要がある。

強力なパスワードを使用し、二要素認証メカニズムを有効にすることで、ブルートフォース攻撃から確実に保護することができる。