Malvér, ktorý využíva neopravené zraniteľnosti v 30 rôznych doplnkoch WordPress, infikoval stovky ak nie tisíce stránok a podľa posledného zverejneného článku sa mohli aktívne používať roky týždeň.
Malvér založený na Linuxe inštaluje zadné vrátka, ktoré spôsobí, že infikované stránky presmerujú návštevníkov na škodlivé stránky, tvrdia výskumníci z bezpečnostnej firmy Dr. Web povedal. Je tiež schopný zakázať protokolovanie udalostí, prejsť do pohotovostného režimu a sám sa vypnúť. Inštaluje sa využívaním už opravených zraniteľností v doplnkoch, ktoré používajú vlastníci webových stránok pridajte funkcie, ako je live chat alebo metrika, do hlavného systému správy obsahu WordPress.
„Ak stránky používajú zastarané verzie takýchto doplnkov, ktorým chýbajú zásadné opravy, cielené webové stránky sú vložené škodlivým JavaScriptom,“ napísali Dr. Web výskumníci. "V dôsledku toho, keď používatelia kliknú na akúkoľvek oblasť napadnutej stránky, sú presmerovaní na iné stránky."
Vyhľadávania ako napr
toto naznačujú, že viac ako 1 300 stránok obsahuje JavaScript, ktorý poháňa zadné vrátka. Je možné, že niektoré z týchto stránok odstránili škodlivý kód od poslednej kontroly. Napriek tomu poskytuje indikáciu dosahu malvéru.Medzi využívané pluginy patria:
- Doplnok podpory WP Live Chat
- WordPress – Príspevky súvisiace s Yuzo
- Doplnok na prispôsobenie vizuálnej témy žltej ceruzky
- Easysmtp
- Doplnok WP GDPR Compliance Plugin
- Téma novín na WordPress Access Control (chyba zabezpečenia CVE-2016-10972)
- Thim Core
- Vkladač kódu Google
- Plugin pre celkové dary
- Uverejnite vlastné šablóny Lite
- WP Quick Booking Manager
- Facebook Live Chat od Zotaboxu
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (chyby zabezpečenia CVE-2019-17232 a CVE-2019-17233)
- Integrácia WP-Matomo (WP-Piwik)
- Skratky WordPress ND pre Visual Composer
- WP Live Chat
- Stránka a režim údržby už čoskoro
- Hybrid
- Brizy WordPress Plugin
- Prehrávač videa FV Flowplayer
- WooCommerce
- Stránka WordPress už čoskoro
- Téma WordPress OneTone
- Doplnok WordPress Simple Fields
- Doplnok WordPress Delucks SEO
- Poll, Survey, Form & Quiz Maker od OpinionStage
- Sledovanie sociálnych metrík
- WPeMatico RSS Feed Fetcher
- Doplnok bohatých recenzií
„Ak sa úspešne zneužije jedna alebo viacero zraniteľností, do cieľovej stránky sa vloží škodlivý JavaScript, ktorý sa stiahne zo vzdialeného servera,“ vysvetlil Dr. Web. „Vďaka tomu sa injekcia robí tak, že pri načítaní infikovanej stránky sa najskôr spustí tento JavaScript – bez ohľadu na pôvodný obsah stránky. V tomto bode, kedykoľvek používatelia kliknú kdekoľvek na infikovanú stránku, budú presmerovaní na webovú stránku, na ktorú útočníci potrebujú, aby používatelia prešli.“
JavaScript obsahuje odkazy na rôzne škodlivé domény vrátane:
lobbydesires[.]com
letsmakeparty3[.]ga
deliverygoodstrategies[.]com
gabriellalovecats[.]com
css[.]digestcolect[.]com
klon[.]collectfasttracks[.]com
Count[.]trackstatisticsss[.]com
Snímka obrazovky nižšie ukazuje, ako sa javascript zobrazuje v zdroji stránky infikovanej lokality:
Dr Web
Vedci našli dve verzie zadných vrátok: Linux. Zadné dvere. WordPressExploit.1 a Linux. Zadné dvere. WordPressExploit.2. Uviedli, že malvér sa mohol používať tri roky.
WordPress pluginy sú už dlho bežným prostriedkom na infikovanie stránok. Zatiaľ čo bezpečnosť hlavnej aplikácie je pomerne robustná, mnohé doplnky sú plné zraniteľností, ktoré môžu viesť k infekcii. Zločinci používajú infikované stránky na presmerovanie návštevníkov na stránky používané na phishing, reklamné podvody a distribúciu škodlivého softvéru.
Ľudia prevádzkujúci stránky WordPress by sa mali uistiť, že používajú najaktuálnejšie verzie hlavného softvéru, ako aj všetky doplnky. Mali by uprednostniť aktualizáciu ktoréhokoľvek z vyššie uvedených doplnkov.
