Un malware Linux precedentemente sconosciuto ha sfruttato 30 vulnerabilità in molteplici plugin e temi WordPress obsoleti per iniettare JavaScript dannoso. Secondo un rapporto del fornitore di antivirus Dr. Web, il malware prende di mira i sistemi Linux a 32 e 64 bit, fornendo al suo operatore capacità di comando remoto. La funzionalità principale del trojan è quella di violare i siti WordPress utilizzando una serie di exploit codificati che vengono eseguiti in successione, finché uno di essi non funziona.
I plugin e i temi presi di mira sono i seguenti:
- WP Live Chat Support Plugin
- WordPress – Yuzo Messaggi correlati
- Plugin per la personalizzazione del tema visivo Yellow Pencil
- Easysmtp
- Plugin WP per la conformità GDPR
- Tema per giornali su WordPress Controllo degli accessi (CVE-2016-10972)
- Nucleo Thim
- Inseritore di codice Google
- Plugin per le donazioni totali
- Modelli personalizzati per i post Lite
- WP Gestore di prenotazioni rapide
- Chat dal vivo Faceboor di Zotabox
- Plugin WordPress Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 e CVE-2019-17233)
- Integrazione WP-Matomo (WP-Piwik)
- WordPress ND Shortcodes per Visual Composer
- Chat in diretta di WP
- Pagina Coming Soon e modalità di manutenzione
- Ibrido
Se il sito web preso di mira esegue una versione obsoleta e vulnerabile di uno dei suddetti strumenti, il malware recupera automaticamente il codice JavaScript dannoso dal suo server di comando e controllo (C2) e inietta lo script nel sito web.
Codice di reindirizzamento iniettato
Le pagine infette fungono da reindirizzatori verso una posizione a scelta dell’aggressore, quindi lo schema funziona meglio sui siti abbandonati. Questi reindirizzamenti possono essere utilizzati nelle campagne di phishing, distribuzione di malware e malvertising per eludere il rilevamento e il blocco. Detto questo, gli operatori dell’autoiniettore potrebbero vendere i loro servizi ad altri criminali informatici. Una versione aggiornata del payload che Dr. Web ha osservato in natura prende di mira anche i seguenti componenti aggiuntivi di WordPress:
- Plugin WordPress Brizy
- Lettore video FV Flowplayer
- WooCommerce
- Pagina WordPress Coming Soon
- Tema WordPress OneTone
- Plugin WordPress Simple Fields
- Plugin WordPress Delucks SEO
- Sondaggio, indagine, modulo e quiz di OpinionStage
- Tracciamento delle metriche sociali
- Raccoglitore di feed RSS di WPeMatico
- Plugin Rich Reviews
I nuovi componenti aggiuntivi presi di mira dalla nuova variante indicano che lo sviluppo della backdoor è attualmente attivo. Dr. Web segnala inoltre che entrambe le varianti contengono funzionalità attualmente inattive, che consentirebbero attacchi di brute-forcing contro gli account degli amministratori dei siti web. Per difendersi da questa minaccia è necessario che gli amministratori dei siti Web WordPress aggiornino all’ultima versione disponibile i temi e i plugin in esecuzione sul sito e sostituiscano quelli non più sviluppati con alternative supportate. L’utilizzo di password forti e l’attivazione del meccanismo di autenticazione a due fattori dovrebbero garantire la protezione dagli attacchi brute-force.