Novo Malware Linux Explora Backdoors para Mais de 30 Plugins em Sites WordPress

O recente surgimento de um novo malware Linux é motivo de alarme entre webmasters e administradores de sites. O código malicioso desconhecido explora mais de 30 plug-ins para obter acesso backdoor a sites WordPress. De acordo com especialistas em segurança cibernética, essa exploração pode ser usada por hackers para atividades maliciosas, desde roubo e manipulação de dados até ataques distribuídos de negação de serviço (DDoS).

O malware foi projetado com recursos sofisticados de evasão para contornar a maioria das soluções antimalware. Ele visa principalmente sites WordPress que executam plug-ins vulneráveis ou aqueles que não instalam os patches mais recentes. Esse exploit desconhecido também verifica sites WordPress mal configurados com páginas de autenticação expostas e executa ataques de força bruta contra eles para entrar nesses sistemas. Uma vez dentro, ele passa a configurar o acesso backdoor, que invasores remotos podem explorar a qualquer momento.

Os plugins e temas direcionados são os seguintes:

• Plugin de suporte de bate-papo ao vivo WP
• Plug-in de conformidade com WP GDPR
• WordPress – Yuzo Posts relacionados
• Plug-in Yellow Pencil Visual Theme Customizer
• Híbrido
• Easysmtp
• Plug-in de conformidade com WP GDPR
• Tema de jornal no controle de acesso do WordPress (CVE-2016-10972)
• Este núcleo
• Bate-papo ao vivo do Faceboor por Zotabox
• Inseridor de código do Google
• Plugin de Doações Totais
• Publique modelos personalizados Lite
• Gerenciador de Reservas Rápidas WP\
• Página em breve e modo de manutenção
• Bate-papo ao vivo do Faceboor por Zotabox
• Blog Designer WordPress Plugin
• Perguntas frequentes sobre o WordPress Ultimate (CVE-2019-17232 e CVE-2019-17233)
• Integração WP-Matomo (WP-Piwik)
• Códigos de acesso do WordPress ND para Visual Composer
• WP Chat ao vivo
• Página em breve e modo de manutenção

Suponha que o site de destino execute uma versão desatualizada e vulnerável de qualquer um dos plug-ins acima. Nesse caso, o malware busca automaticamente JavaScript malicioso de seu servidor de comando e controle (C2) e injeta o script no site do site.

As páginas infectadas atuam como redirecionadores para um local de escolha do invasor, portanto, o esquema funciona melhor em sites abandonados.

Esses redirecionamentos podem servir em campanhas de phishing, distribuição de malware e malvertising para ajudar a evitar a detecção e o bloqueio. Dito isso, os operadores do autoinjetor podem estar vendendo seus serviços para outros cibercriminosos.

Uma versão atualizada da carga útil também tem como alvo os seguintes complementos do WordPress:

• Brizy WordPress Plugin
• Reprodutor de vídeo FV Flowplayer
• WooCommerce
• WordPress em breve Página
• Tema WordPress OneTone
• Plugin WordPress de campos simples
• Reprodutor de vídeo FV Flowplayer
• WordPress Delucks SEO plugin
• Criador de Enquetes, Pesquisas, Formulários e Quiz por OpinionStage
• Rastreador de métricas sociais
• Plugin Rich Reviews
• Buscador de feeds RSS WPeMatico
• Plugin Rich Reviews

A defesa contra essa ameaça exige que os administradores de sites WordPress atualizem para a versão mais recente disponível dos temas e plug-ins em execução no site e substituam aqueles que não são mais desenvolvidos por alternativas suportadas.

O uso de senhas fortes e a ativação do mecanismo de autenticação de dois fatores devem garantir proteção contra ataques de força bruta.