Novo malware para Linux explora backdoors para mais de 30 plug-ins em sites WordPress

O recente surgimento de um novo malware para Linux é motivo de alarme entre webmasters e administradores de sites. O código malicioso desconhecido explora mais de 30 plug-ins para obter acesso backdoor a sites WordPress. De acordo com especialistas em segurança cibernética, essa exploração pode ser usada por hackers para atividades mal-intencionadas que vão desde o roubo e a manipulação de dados até ataques distribuídos de negação de serviço (DDoS).

O malware foi projetado com sofisticados recursos de evasão para contornar a maioria das soluções antimalware. Ele tem como alvo principal os sites do WordPress que executam plug-ins vulneráveis ou que não instalam os patches mais recentes. Esse exploit desconhecido também procura sites WordPress mal configurados com páginas de autenticação expostas e executa ataques de força bruta contra eles para obter acesso a esses sistemas. Uma vez dentro, ele prossegue com a configuração do acesso backdoor, que pode ser explorado por atacantes remotos a qualquer momento.

Os plug-ins e temas visados são os seguintes:

• Plug-in de suporte do WP Live Chat
• Plug-in de conformidade com o GDPR do WP
• WordPress - Posts relacionados à Yuzo
• Plugin Yellow Pencil Visual Theme Customizer
• Híbrido
• Easysmtp
• Plug-in de conformidade com o GDPR do WP
• Tema de jornal no controle de acesso do WordPress (CVE-2016-10972)
• Núcleo fino
• Faceboor Live Chat da Zotabox
• Inseridor de código do Google
• Plugin Total Donations
• Post Custom Templates Lite
• Gerenciador de reservas rápidas do WP
• Página Coming Soon e modo de manutenção
• Faceboor Live Chat da Zotabox
• Plug-in WordPress do Blog Designer
• Perguntas frequentes sobre o WordPress (CVE-2019-17232 e CVE-2019-17233)
• Integração do WP-Matomo (WP-Piwik)
• Códigos de acesso ND do WordPress para o Visual Composer
• WP Live Chat
• Página Coming Soon e modo de manutenção

Suponha que o site visado execute uma versão desatualizada e vulnerável de qualquer um dos plug-ins acima. Nesse caso, o malware obtém automaticamente o JavaScript mal-intencionado de seu servidor de comando e controle (C2) e injeta o script no site.

As páginas infectadas funcionam como redirecionadores para um local escolhido pelo invasor, portanto, o esquema funciona melhor em sites abandonados.

Esses redirecionamentos podem ser usados em campanhas de phishing, distribuição de malware e malvertising para ajudar a evitar a detecção e o bloqueio. Dito isso, os operadores do autoinjetor podem estar vendendo seus serviços a outros criminosos cibernéticos.

Uma versão atualizada da carga útil também tem como alvo os seguintes complementos do WordPress:

• Plugin Brizy para WordPress
• Reprodutor de vídeo FV Flowplayer
• WooCommerce
• Página em breve do WordPress
• Tema do WordPress OneTone
• Plug-in WordPress Simple Fields
• Reprodutor de vídeo FV Flowplayer
• Plug-in de SEO do WordPress Delucks
• Criador de enquetes, pesquisas, formulários e questionários da OpinionStage
• Rastreador de métricas sociais
• Plugin Rich Reviews
• WPeMatico RSS Feed Fetcher
• Plugin Rich Reviews

A defesa contra essa ameaça exige que os administradores de sites do WordPress atualizem para a versão mais recente disponível dos temas e plug-ins em execução no site e substituam aqueles que não são mais desenvolvidos por alternativas compatíveis.

O uso de senhas fortes e a ativação do mecanismo de autenticação de dois fatores devem garantir a proteção contra ataques de força bruta.