Nedavno je otkriven novi malware koji koristi sigurnosne propuste u 30 različitih WordPress plugin-ova. Do sada je zarazio stotine, ako ne i tisuće Word Press web stranica, a procjenjuje se da je aktivan godinama.
Ovaj malware temeljen na Linuxu instalira backdoor koji funkcionira tako što preusmjerava korisnike ka malicioznim web stranicama. Također, može onemogućiti logove koji bi ga mogli otkriti, može otići u stanje pripravnosti, pa čak i potpuno se isključiti po potrebi, što su zapravo glavni razlozi zašto ga je bilo tako teško otkriti. Malware se instalira kroz sigurnosne propuste u plugin-ovima, preko kojih vlasnici web stranica aktiviraju dodatne funkcionalnosti na svojim stranicama kao što su live chatovi, razne metrike, sustavi za uparivanje i tome slično. Na takvim web stranicama se ubacuje maliciozni JavaScript, a istraživači iz tvrtke Dr. Web otkrili su najmanje 1.300 zaraženih web stranica, piše Ars Technica.
Plugin moduli kroz čije sigurnosne propuste se može instalirati ovaj malware su:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Facebook Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Ako se iskoristi neki od propusta u spomenutim plugin-ovima, maliciozni JavaScript kod se preuzima s udaljenog servera. Taj JavaScript se pokreće prvi, prije originalnog sadržaja stranica, a kad se to dogodi, kad god korisnik klikne na neki link na zaraženoj stranici, on se preusmjerava na neke od web stranica koje je definirao napadač. Otkriveno je da su u pitanju domene:
- lobbydesires[.]com
- letsmakeparty3[.]ga
- deliverygoodstrategies[.]com
- gabriellalovecats[.]com
- css[.]digestcolect[.]com
- clon[.]collectfasttracks[.]com
- Count[.]trackstatisticsss[.]com
Istraživači su pronašli dvije verzije backdoora: Linux.BackDoor.WordPressExploit.1 i Linux.BackDoor.WordPressExploit.2., a navode i da je malware možda bio u upotrebi tri godine.
