BrightPlugins_Logo_Horizontaal
Afbeelding voor Nieuwe Linux-malware buit achterdeurtjes uit

Nieuwe Linux-malware maakt gebruik van achterdeurtjes naar meer dan 30 plug-ins op WordPress-sites

Inhoud

De recente opkomst van een nieuwe Linux-malware is reden tot paniek onder webmasters en websitebeheerders. De onbekende kwaadaardige code maakt misbruik van meer dan 30 plugins om achterdeurtoegang te krijgen tot WordPress-sites. Volgens cyberbeveiligingsdeskundigen kan deze exploit door hackers worden gebruikt voor kwaadaardige activiteiten, variërend van gegevensdiefstal en -manipulatie tot DDoS-aanvallen (Distributed Denial of Service).

De malware is ontworpen met geavanceerde ontwijkingsmogelijkheden om de meeste anti-malwareoplossingen te omzeilen. Het richt zich voornamelijk op WordPress websites met kwetsbare plugins of websites die niet de nieuwste patches installeren. Deze onbekende exploit scant ook naar verkeerd geconfigureerde WordPress-sites met open verificatiepagina's en voert brute-force aanvallen uit om toegang te krijgen tot deze systemen. Eenmaal binnen wordt er een achterdeur opgezet die aanvallers op afstand op elk moment kunnen misbruiken.

De beoogde plugins en thema's zijn de volgende:

  • WP Live Chat Ondersteuning Plugin
  • WP GDPR naleving Plugin
  • WordPress - Yuzo Gerelateerde berichten
  • Geel Potlood Visuele Thema Aanpasser Plugin
  • Hybride
  • Easysmtp
  • WP GDPR naleving Plugin
  • Kranten thema op WordPress toegangscontrole (CVE-2016-10972)
  • Thim Kern
  • Faceboor Live Chat door Zotabox
  • Google Code Invoegtoepassing
  • Totaal Donaties Plugin
  • Post Aangepaste sjablonen Lite
  • WP Snel boeken Manager
  • Coming Soon-pagina en onderhoudsmodus
  • Faceboor Live Chat door Zotabox
  • Blog Ontwerper WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 en CVE-2019-17233)
  • WP-Matomo integratie (WP-Piwik)
  • WordPress ND Shortcodes voor Visual Composer
  • WP Live chat
  • Coming Soon-pagina en onderhoudsmodus

Stel dat de beoogde website een verouderde en kwetsbare versie van een van de bovenstaande plugins gebruikt. In dat geval haalt de malware automatisch schadelijke JavaScript op van zijn commando- en controleserver (C2) en injecteert het script in de website.

Geïnfecteerde pagina's fungeren als omleidingen naar een locatie van de aanvaller, dus het schema werkt het beste op verlaten sites.

Deze omleidingen kunnen worden gebruikt in phishing-, malwaredistributie- en malvertisingcampagnes om detectie en blokkering te omzeilen. Dit gezegd hebbende, is het mogelijk dat de beheerders van de auto-injector hun diensten verkopen aan andere cybercriminelen.

Een bijgewerkte versie van de payload richt zich ook op de volgende WordPress-add-ons:

  • Brizy WordPress Plugin
  • FV Flowplayer Videospeler
  • WooCommerce
  • WordPress Binnenkort Pagina
  • WordPress thema OneTone
  • Eenvoudige velden WordPress Plugin
  • FV Flowplayer Videospeler
  • WordPress Delucks SEO plugin
  • Maker van opiniepeilingen, enquêtes, formulieren en quizzen door OpinionStage
  • Sociale statistieken
  • Rijke beoordelingen plugin
  • WPeMatico RSS Feed Fetcher
  • Rijke beoordelingen plugin

Om zich tegen deze bedreiging te verdedigen, moeten beheerders van WordPress-websites de thema's en plugins die op de site worden uitgevoerd, bijwerken naar de nieuwste beschikbare versie en degene die niet meer worden ontwikkeld, vervangen door ondersteunde alternatieven.

Het gebruik van sterke wachtwoorden en het activeren van het tweefactorauthenticatiemechanisme moeten bescherming bieden tegen brute-force aanvallen.

Geniet je van dit artikel?
Deel het op sociale media!

Bekijk een andere blogpost!

Terug naar alle blogberichten
BrightPlugins_Logo_Horizontaal
Abonneer u op onze nieuwsbrief

Aanmelden

Dit veld is voor validatiedoeleinden en moet ongewijzigd blijven.
Copyright © 2024 Alle rechten voorbehouden aan Bright Plugins
pijl-linkspijl-rechts linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blanco linkedin-blanco pinterest youtube twitter instagram