I siti WordPress sono presi di mira da un ceppo precedentemente sconosciuto di malware Linux che sfrutta i difetti in oltre due dozzine di plugin e temi per compromettere i sistemi vulnerabili.
"Se i siti utilizzano versioni obsolete di tali componenti aggiuntivi, prive di correzioni cruciali, le pagine Web mirate vengono iniettate con JavaScript dannosi", ha affermato il fornitore di sicurezza russo Doctor Web in un rapporto pubblicato la scorsa settimana. "Di conseguenza, quando gli utenti fanno clic su qualsiasi area di una pagina attaccata, vengono reindirizzati ad altri siti".
Gli attacchi comportano l'armamento di un elenco di vulnerabilità di sicurezza note in 19 diversi plug-in e temi che sono probabilmente installati su un sito WordPress, utilizzandolo per distribuire un impianto che può prendere di mira un sito Web specifico per espandere ulteriormente la rete.
È anche in grado di iniettare codice JavaScript recuperato da un server remoto per reindirizzare i visitatori del sito a un sito Web arbitrario scelto dall'attaccante.
Doctor Web ha dichiarato di aver identificato una seconda versione della backdoor, che utilizza un nuovo dominio di comando e controllo (C2) e un elenco aggiornato di difetti che coprono 11 plug-in aggiuntivi, portando il totale a 30.
I plugin e i temi mirati sono di seguito:
WP Live Chat Support
Yuzo Related Posts
Yellow Pencil Visual CSS Style Editor
Easy WP SMTP
WP GDPR Compliance
Newspaper (CVE-2016-10972)
Thim Core
Smart Google Code Inserter (discontinued as of January 28, 2022)
Total Donations
Post Custom Templates Lite
WP Quick Booking Manager
Live Chat with Messenger Customer Chat by Zotabox
Blog Designer
WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
ND Shortcodes
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid
Brizy
FV Flowplayer Video Player
WooCommerce
Coming Soon Page & Maintenance Mode
Onetone
Simple Fields
Delucks SEO
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher, and
Rich Reviews
Si dice che entrambe le varianti includano un metodo non implementato per forzare brutalmente gli account amministratore di WordPress, anche se non è chiaro se si tratti di un residuo di una versione precedente o di una funzionalità che deve ancora vedere la luce.
"Se tale opzione viene implementata nelle versioni più recenti della backdoor, i criminali informatici saranno persino in grado di attaccare con successo alcuni di quei siti Web che utilizzano le attuali versioni di plug-in con vulnerabilità corrette", ha affermato la società.
Si consiglia agli utenti di WordPress di mantenere aggiornati tutti i componenti della piattaforma, inclusi componenti aggiuntivi e temi di terze parti. Si consiglia inoltre di utilizzare accessi e password sicuri e univoci per proteggere i propri account.
La divulgazione arriva settimane dopo che Fortinet FortiGuard Labs ha dettagliato un'altra botnet chiamata GoTrim progettata per forzare i siti web self-hosted utilizzando il sistema di gestione dei contenuti (CMS) di WordPress per prendere il controllo dei sistemi mirati.
Il mese scorso, Sucuri ha notato che più di 15.000 siti WordPress sono stati violati come parte di una campagna dannosa per reindirizzare i visitatori a portali fasulli di domande e risposte. Il numero di contagi attivi è attualmente di 9.314.
La società di sicurezza del sito Web di proprietà di GoDaddy, nel giugno 2022, ha anche condiviso informazioni su un sistema di direzione del traffico (TDS) noto come Parrot che è stato osservato prendere di mira i siti WordPress con JavaScript non autorizzato che rilascia malware aggiuntivo sui sistemi compromessi.
Commenti
Posta un commento