Un nuovo malware Linux hackera i siti Web basati su WordPress sfruttando 30 vulnerabilità in più plugin e temi obsoleti per distribuire JavaScript dannosi. Lo hanno scoperto i ricercatori di Doctor Web tracciandolo come Linux.BackDoor.WordPressExploit.1.
Si tratta di un’applicazione trojan per sistemi operativi Linux a 32 e 64 bit destinata ai dispositivi compatibili con x86. La backdoor è scritta nel linguaggio di programmazione Go (Golang) ed esegue i comandi degli aggressori. La sua funzionalità principale è attaccare i siti Web basati sul CMS (Content Management System) di WordPress sfruttando le vulnerabilità nelle versioni obsolete di plug-in e temi per questa piattaforma.
Il malware prende di mira entrambe le versioni di Linux a 32 e 64 bit, supporta funzionalità backdoor ed è in grado di attaccare una pagina Web specificata (sito Web), passare alla modalità standby, spegnersi e mettere in pausa la registrazione delle sue azioni.
Prima di attaccare un sito Web, Linux.BackDoor.WordPressExploit.1 contatta il suo server C&C e riceve l’indirizzo del sito da infettare. Successivamente, tenta di sfruttare le vulnerabilità nei seguenti plug-in e temi se sono installati su siti Web di destinazione:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
Se un attacco ha successo, le pagine Web di tali siti vengono iniettate con un JavaScript dannoso che reindirizza i visitatori del sito Web ad altri siti sotto il controllo degli aggressori.
“Se una o più vulnerabilità vengono sfruttate con successo, la pagina presa di mira viene iniettata con un JavaScript dannoso che viene scaricato da un server remoto. Con ciò, l’iniezione viene eseguita in modo tale che quando viene caricata la pagina infetta, questo JavaScript verrà avviato per primo, indipendentemente dai contenuti originali della pagina”, si legge nell’advisory pubblicato da Dr. Web. “A questo punto, ogni volta che gli utenti fanno clic in un punto qualsiasi della pagina infetta, verranno trasferiti al sito Web a cui gli aggressori devono accedere.”
I visitatori di pagine compromesse vengono reindirizzati a siti dannosi utilizzati per distribuire malware e servire pagine di phishing. I ricercatori hanno anche individuato una versione più recente del malware che sfrutta le vulnerabilità nei seguenti plugin di WordPress:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Inoltre, i ricercatori hanno scoperto che entrambe le varianti del trojan contengono funzionalità non implementate per l’hacking degli account amministratore dei siti Web WordPress attraverso un attacco di brute-force applicando accessi e password noti e utilizzando dizionari speciali.
I ricercatori hanno raccomandato agli amministratori dei siti WordPress di mantenere aggiornati tutti i componenti del CMS e invitato anche a utilizzare accessi e password sicuri e unici per i propri account.