Специалисты компании «Доктор Веб» обнаружили вредоносную программу для Linux, которая взламывает сайты, работающие под управлением WordPress, через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой CMS. На уязвимые сайты внедряются вредоносные JavaScript-скрипты, из-за чего при клике мышью в любом месте скомпрометированной страницы посетителей перенаправляют на другие ресурсы.
Исследователи пишут, что эта малварь может быть тем вредоносным инструментом, с помощью которого злоумышленники более трех лет совершали атаки и зарабатывали на перепродаже трафика — арбитраже.
Вредонос получил идентификатор Linux.BackDoor.WordPressExploit.1 и предназначен для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Малварь представляет собой бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:
- атаковать заданную веб-страницу (сайт);
- перейти в режим ожидания;
- завершить работу;
- остановить ведение журнала выполненных действий.
Основной функцией этого трояна является взлом сайтов на базе CMS WordPress и внедрение вредоносного скрипта в их страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед троян связывается с управляющим сервером и получает от него адрес ресурса, который требуется взломать. Затем он пытается эксплуатировать уязвимости в устаревших версиях следующих плагинов и тем, которые могут быть установлены на сайте:
- WP Live Chat Support Plugin;
- WordPress – Yuzo Related Posts;
- Yellow Pencil Visual Theme Customizer Plugin;
- Easysmtp;
- WP GDPR Compliance Plugin;
- Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972);
- Thim Core;
- Google Code Inserter;
- Total Donations Plugin;
- Post Custom Templates Lite;
- WP Quick Booking Manager;
- Faceboor Live Chat by Zotabox;
- Blog Designer WordPress Plugin;
- WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233);
- WP-Matomo Integration (WP-Piwik);
- WordPress ND Shortcodes For Visual Composer;
- WP Live Chat;
- Coming Soon Page and Maintenance Mode;
В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжект происходит таким образом, что при загрузке зараженной страницы этот JavaScript будет инициирован самым первым (независимо от того, какое содержимое было на странице ранее). В дальнейшем при клике мышью в любом месте страницы пользователи будут перенаправлены на нужный злоумышленникам сайт. Пример такого инжекта можно увидеть ниже.
Отмечается, что троян программа ведет статистику своей работы: отслеживает общее число атакованных сайтов, все случаи успешного применения эксплоитов и дополнительно — число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере* от компании Zotabox. Кроме того, малварь информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.
Вместе с текущей модификацией малвари специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:
- Brizy WordPress Plugin;
- FV Flowplayer Video Player;
- WooCommerce;
- WordPress Coming Soon Page;
- WordPress theme OneTone;
- Simple Fields WordPress Plugin;
- WordPress Delucks SEO plugin;
- Poll, Survey, Form & Quiz Maker by OpinionStage;
- Social Metrics Tracker;
- WPeMatico RSS Feed Fetcher;
- Rich Reviews plugin.
При этом в обоих вариантах вредоноса была выявлена нереализованная функциональность для взлома учетных записей администраторов атакуемых сайтов с помощью брутфорса. Предполагается, что эта функция либо присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий малвари. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.
* Запрещен в России. Принадлежит Meta Platforms, которая признана экстремистской организацией и ее деятельность запрещена в России