Исследователи безопасности компании «Доктор Веб», специализирующейся на обнаружении и предотвращении угроз, обнаружили вредоносную программу для Linux, которая нацелена на сайты WordPress с устаревшими и уязвимыми плагинами и темами.
Вредоносное ПО нацелено на 32-разрядные версии Linux, но также может работать и на 64-разрядных версиях. Он использует 30 уязвимостей тем и плагинов для внедрения вредоносного кода JavaScript на веб-сайты, перенаправляя посетителей на выбранный злоумышленником веб-сайт.
В отчете говорится, что анализ приложения компанией «Доктор Вебс» показал, что «это может быть вредоносный инструмент, который киберпреступники используют уже более трех лет для проведения подобных атак и монетизации перепродажи трафика или арбитража». За это время инструмент был обновлен для устранения большего количества уязвимостей, которые можно использовать.
Существует две версии зловреда — Linux.BackDoor.WordPressExploit.1 и Linux.BackDoor.WordPressExploit.2 . Версия 1 пытается использовать уязвимости в популярных плагинах, таких как WP GDPR Compliance, Easysmtp, WP Live Chat и дюжине других бесплатных и коммерческих расширений. Известно, что некоторые из них имеют частые уязвимости, а один был закрыт из-за нарушений правил , но все еще может быть активен на некоторых сайтах.
Обновленная версия 2 имеет другой адрес сервера для распространения вредоносного JavaScript и дополнительный список эксплуатируемых уязвимостей для нескольких более широко используемых плагинов, включая FV Flowplayer Video Player, Brizy Page Builder, WooCommerce и другие.
В отчете «Доктор Веб» также предполагается, что злоумышленники, возможно, разработали длинный план игры, который предоставит им административный доступ даже после того, как пользователи обновятся до более новых (исправленных) версий скомпрометированных плагинов:
В обоих вариантах троянца обнаружен нереализованный функционал для взлома учетных записей администраторов целевых веб-сайтов методом грубой силы — путем применения известных логинов и паролей, использования специальных словарей. Не исключено, что этот функционал присутствовал в более ранних модификациях или, наоборот, злоумышленники планируют использовать его для будущих версий этой вредоносной программы. Если такая возможность будет реализована в более новых версиях бэкдора, киберпреступники даже смогут успешно атаковать некоторые из тех веб-сайтов, которые используют текущие версии плагинов с исправленными уязвимостями.
Компания «Доктор Веб» опубликовала документ с индикаторами компрометации , в котором подробно описаны хэши, IP-адреса и домены, которые вредоносный бэкдор Linux использовал для заражения сайтов WordPress.
