De recente opkomst van een nieuwe Linux-malware is reden tot paniek onder webmasters en websitebeheerders. De onbekende kwaadaardige code maakt misbruik van meer dan 30 plugins om achterdeurtoegang te krijgen tot WordPress-sites. Volgens cyberbeveiligingsdeskundigen kan deze exploit door hackers worden gebruikt voor kwaadaardige activiteiten, variërend van gegevensdiefstal en -manipulatie tot DDoS-aanvallen (Distributed Denial of Service).
De malware is ontworpen met geavanceerde ontwijkingsmogelijkheden om de meeste anti-malwareoplossingen te omzeilen. Het richt zich voornamelijk op WordPress websites met kwetsbare plugins of websites die niet de nieuwste patches installeren. Deze onbekende exploit scant ook naar verkeerd geconfigureerde WordPress-sites met open verificatiepagina's en voert brute-force aanvallen uit om toegang te krijgen tot deze systemen. Eenmaal binnen wordt er een achterdeur opgezet die aanvallers op afstand op elk moment kunnen misbruiken.
De beoogde plugins en thema's zijn de volgende:
Stel dat de beoogde website een verouderde en kwetsbare versie van een van de bovenstaande plugins gebruikt. In dat geval haalt de malware automatisch schadelijke JavaScript op van zijn commando- en controleserver (C2) en injecteert het script in de website.
Geïnfecteerde pagina's fungeren als omleidingen naar een locatie van de aanvaller, dus het schema werkt het beste op verlaten sites.
Deze omleidingen kunnen worden gebruikt in phishing-, malwaredistributie- en malvertisingcampagnes om detectie en blokkering te omzeilen. Dit gezegd hebbende, is het mogelijk dat de beheerders van de auto-injector hun diensten verkopen aan andere cybercriminelen.
Een bijgewerkte versie van de payload richt zich ook op de volgende WordPress-add-ons:
Om zich tegen deze bedreiging te verdedigen, moeten beheerders van WordPress-websites de thema's en plugins die op de site worden uitgevoerd, bijwerken naar de nieuwste beschikbare versie en degene die niet meer worden ontwikkeld, vervangen door ondersteunde alternatieven.
Het gebruik van sterke wachtwoorden en het activeren van het tweefactorauthenticatiemechanisme moeten bescherming bieden tegen brute-force aanvallen.