Eulogic Blog

Un malware Linux precedentemente sconosciuto ha sfruttato 30 vulnerabilità in più plugin e temi WordPress obsoleti per iniettare JavaScript dannoso.

Secondo Dr. Web, il malware prende di mira sia i sistemi Linux a 32 bit che a 64 bit, offrendo al suo operatore capacità di comando remoto.

La funzionalità principale del malware è quella di hackerare i siti WordPress utilizzando una serie di exploit codificati che vengono eseguiti successivamente, finché uno di essi non funziona.
La sua principale funzione è quella di prendere il controllo da remoto, andando a iniettare codice JavaScript nelle pagine Web.

Dopo aver ricevuto dal server C2C (command and control) l’indirizzo del sito da infettare, la backdoor verifica la presenza di questi plugin e temi:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control (CVE-2016-10972)
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Faceboor Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid

Se il sito Web di destinazione esegue una versione obsoleta e vulnerabile di uno dei precedenti, il malware recupera automaticamente il JavaScript dannoso dal suo server di comando e controllo (C2) e inserisce lo script nel sito Web.

Le pagine infette fungono da redirector verso una posizione scelta dall’attaccante, se l’utente clicca in un qualsiasi punto del sito viene aperto un sito Web controllato dall’attaccante.

Una versione più recente cerca vulnerabilità nei seguenti plugin:

• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

I siti esterni possono essere utilizzati per rubare i dati personali dell’utente (phishing) o per distribuire altri malware. Entrambe le versioni hanno una funzionalità non attiva che consente di effettuare attacchi brute force contro gli account amministratore dei siti Web WordPress.

Per difendersi da questa minaccia è necessario che gli amministratori dei siti Web WordPress aggiornino all’ultima versione disponibile i temi e i plugin in esecuzione sul sito e sostituiscano quelli non più sviluppati con alternative supportate.

L’utilizzo di password forti e l’attivazione del meccanismo di autenticazione a due fattori dovrebbero garantire la protezione contro gli attacchi brute-force.