Sla naar de inhoud

Bright Plugins verwerft WordPress- en WooCommerce-plug-ins. Verkoop uw plug-inbedrijf aan een Automattic-partner en een geverifieerde WooCommerce-expert.

Laten we verbinding maken
Afbeelding voor Nieuwe Linux-malware maakt gebruik van achterdeurtjes
Inloggen

Nieuwe Linux-malware maakt gebruik van achterdeurtjes naar meer dan 30 plug-ins op WordPress-sites

De recente opkomst van een nieuwe Linux-malware is reden tot ongerustheid onder webmasters en websitebeheerders. De onbekende kwaadaardige code maakt gebruik van meer dan 30 plug-ins om achterdeurtoegang tot WordPress-sites te krijgen. Volgens cyberbeveiligingsexperts kan deze exploit door hackers worden gebruikt voor kwaadaardige activiteiten, variërend van gegevensdiefstal en -manipulatie tot distributed denial of service (DDoS)-aanvallen.

De malware is ontworpen met geavanceerde ontwijkingsmogelijkheden om de meeste anti-malware-oplossingen te omzeilen. Het richt zich vooral op WordPress-websites met kwetsbare plug-ins of websites die niet de nieuwste patches installeren. Deze onbekende exploit scant ook op verkeerd geconfigureerde WordPress-sites met blootgestelde authenticatiepagina's en voert brute-force-aanvallen uit om toegang te krijgen tot deze systemen. Eenmaal binnen gaat het verder met het instellen van backdoor-toegang, die aanvallers op afstand op elk moment kunnen misbruiken.

De beoogde plug-ins en thema's zijn de volgende:

  • WP Live Chat Ondersteuning Plugin
  • WP AVG-naleving Plugin
  • WordPress – Yuzo gerelateerde berichten
  • Geel potlood visuele thema aanpasser plugin
  • Hybride
  • Makkelijk
  • WP AVG-naleving Plugin
  • Krantenthema op WordPress Access Control (CVE-2016-10972)
  • Deze kern
  • Faceboor Live Chat door Zotabox
  • Google Code Invoegen
  • Plugin voor totale donaties
  • Aangepaste sjablonen Lite plaatsen
  • WP Quick Booking Manager
  • Binnenkort beschikbaar Pagina en onderhoudsmodus
  • Faceboor Live Chat door Zotabox
  • Blog Ontwerper WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 en CVE-2019-17233)
  • WP-Matomo-integratie (WP-Piwik)
  • WordPress ND-shortcodes voor visuele componist
  • WP Live Chat
  • Binnenkort beschikbaar Pagina en onderhoudsmodus

Stel dat de beoogde website een verouderde en kwetsbare versie van een van de bovenstaande plug-ins gebruikt. In dat geval haalt de malware automatisch kwaadaardig JavaScript op van zijn command and control (C2)-server en injecteert het script in de websitesite.

Geïnfecteerde pagina's fungeren als redirects naar een locatie naar keuze van de aanvaller, dus het systeem werkt het beste op verlaten sites.

Deze omleidingen kunnen dienen voor phishing, de verspreiding van malware en malvertisingcampagnes om detectie en blokkering te omzeilen. Dat gezegd hebbende, verkopen de operators van de auto-injector mogelijk hun diensten aan andere cybercriminelen.

Een bijgewerkte versie van de payload richt zich ook op de volgende WordPress-add-ons:

  • Brizy WordPress-plug-in
  • FV Flowplayer Video Speler
  • WooCommerce
  • WordPress Coming Soon-pagina
  • WordPress thema OneTone
  • Eenvoudige velden WordPress-plug-in
  • FV Flowplayer Video Speler
  • WordPress Delucks SEO-plug-in
  • Poll, Enquête, Formulier & Quiz Maker door OpinionStage
  • Tracker voor sociale statistieken
  • Rich Reviews plugin
  • WPeMatico RSS-feed ophalen
  • Rich Reviews plugin

Om zich tegen deze dreiging te verdedigen, moeten beheerders van WordPress-websites updaten naar de nieuwste beschikbare versie van de thema's en plug-ins die op de site worden uitgevoerd en de niet langer ontwikkelde alternatieven vervangen door ondersteunde alternatieven.

Het gebruik van sterke wachtwoorden en het activeren van het tweefactorauthenticatiemechanisme moet bescherming bieden tegen brute-force-aanvallen.

Geniet je van dit artikel?
Deel het op social media!

Bekijk nog een blogpost!

Terug naar alle blogberichten