Os sites WordPress estão a ser alvo de uma tensão previamente desconhecida de malware Linux que explora falhas em mais de duas dúzias de plugins e temas para comprometer sistemas vulneráveis.
“Se os sites utilizam versões desatualizadas de tais add-ons, sem correções cruciais, as páginas da Web visadas são injetadas com JavaScripts maliciosos”, disse o fornecedor de segurança russo Doctor Web em um relatório publicado na semana passada. “Como resultado, quando os usuários clicam em qualquer área de uma página atacada, eles são redirecionados para outros sites”.
Os ataques envolvem armar uma lista de vulnerabilidades de segurança conhecidas em 19 plugins e temas diferentes que provavelmente estão instalados em um site WordPress, usando-o para implantar um implante que pode ter como alvo um site específico para expandir ainda mais a rede.
Também é capaz de injetar código JavaScript recuperado de um servidor remoto, a fim de redirecionar os visitantes do site para um site arbitrário da escolha do atacante.
Doctor Web disse que identificou uma segunda versão do backdoor, que usa um novo domínio de comando e controle (C2), bem como uma lista atualizada de falhas abrangendo 11 plugins adicionais, elevando o total para 30.
Os plugins e temas alvo são os seguintes:
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (interrompido a partir de 28 de janeiro de 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat by Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, and
- Rich Reviews
Diz-se que ambas as variantes incluem um método não implementado para forçar contas de administrador do WordPress, embora não esteja claro se é um remanescente de uma versão anterior ou uma funcionalidade que ainda não viu a luz.
“Se tal opção for implementada em versões mais recentes do backdoor, os cibercriminosos poderão até atacar com sucesso alguns desses sites que usam versões atuais de plugins com vulnerabilidades corrigidas”, disse a empresa.
Recomenda-se aos usuários do WordPress que mantenham todos os componentes da plataforma atualizados, incluindo add-ons e temas de terceiros. Recomenda-se também o uso de logins e senhas fortes e exclusivas para proteger suas contas.
A divulgação vem semanas depois que a Fortinet FortiGuard Labs detalhou outro botnet chamado GoTrim que foi projetado para forçar os sites auto-hospedados usando o sistema de gerenciamento de conteúdo (CMS) do WordPress a tomar o controle dos sistemas alvo.
No mês passado, Sucuri observou que mais de 15.000 sites WordPress haviam sido violados como parte de uma campanha maliciosa para redirecionar os visitantes para falsos portais de perguntas e respostas. O número de infecções ativas atualmente é de 9.314.
A empresa de segurança de sites da GoDaddy, em junho de 2022, também compartilhou informações sobre um sistema de direção de tráfego (TDS) conhecido como Parrot, que foi observado visando sites WordPress com JavaScript desonesto, que deixa cair malware adicional em sistemas hackeados.
Fonte: thehackernews.com
