I ricercatori di Dr.Web hanno scoperto una backdoor Linux che ignoti cybercriminali hanno utilizzato per attaccare siti web realizzati con il noto CMS WordPress. Sfruttando le vulnerabilità presenti in 30 plugin e temi è possibile portare gli ignari utenti su siti esterni ed eseguire varie attività illecite. Il consiglio è installare una soluzione di sicurezza che blocca l’accesso ai siti infetti.
Backdoor Linux per siti WordPress
WordPress è uno dei CMS più popolari, quindi è anche uno dei bersagli preferiti da cybercriminali. Il malware scoperto dai ricercatori di Dr.Web è compatibile con i siti basati su Linux a 32 e 64 bit. La funzionalità principale è quella di prendere il controllo da remoto, iniettando codice JavaScript nelle pagine web.
Dopo aver ricevuto dal server C2C (command and control) l’indirizzo del sito da infettare, la backdoor verifica la presenza di questi plugin e temi con note vulnerabilità:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
Se viene trovata, il malware sfrutta la vulnerabilità per iniettare codice JavaScript che viene eseguito al caricamento della pagina. Se l’utente clicca in qualsiasi punto verrà aperto un sito web controllato dai cybercriminali. Una versione più recente cerca vulnerabilità nei seguenti plugin:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
I siti esterni possono essere utilizzati per rubare i dati personali dell’utente (phishing) o per distribuire altri malware. Entrambe le versioni hanno una funzionalità non attiva che consente di effettuare attacchi brute force per cercare la password di amministratore.