Специалисты компании «Доктор Веб» обнаружили вредоносную программу для Linux, которая взламывает сайты, работающие под управлением WordPress, через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой CMS. На уязвимые сайты внедряются вредоносные JavaScript-скрипты, из-за чего при клике мышью в любом месте скомпрометированной страницы посетителей перенаправляют на другие ресурсы.

Исследователи пишут, что эта малварь может быть тем вредоносным инструментом, с помощью которого злоумышленники более трех лет совершали атаки и зарабатывали на перепродаже трафика — арбитраже.

Вредонос получил идентификатор Linux.BackDoor.WordPressExploit.1 и предназначен для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Малварь представляет собой бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:

  • атаковать заданную веб-страницу (сайт);
  • перейти в режим ожидания;
  • завершить работу;
  • остановить ведение журнала выполненных действий.

Основной функцией этого трояна является взлом сайтов на базе CMS WordPress и внедрение вредоносного скрипта в их страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед троян связывается с управляющим сервером и получает от него адрес ресурса, который требуется взломать. Затем он пытается эксплуатировать уязвимости в устаревших версиях следующих плагинов и тем, которые могут быть установлены на сайте:

  • WP Live Chat Support Plugin;
  • WordPress – Yuzo Related Posts;
  • Yellow Pencil Visual Theme Customizer Plugin;
  • Easysmtp;
  • WP GDPR Compliance Plugin;
  • Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972);
  • Thim Core;
  • Google Code Inserter;
  • Total Donations Plugin;
  • Post Custom Templates Lite;
  • WP Quick Booking Manager;
  • Faceboor Live Chat by Zotabox;
  • Blog Designer WordPress Plugin;
  • WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233);
  • WP-Matomo Integration (WP-Piwik);
  • WordPress ND Shortcodes For Visual Composer;
  • WP Live Chat;
  • Coming Soon Page and Maintenance Mode;

В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжект происходит таким образом, что при загрузке зараженной страницы этот JavaScript будет инициирован самым первым (независимо от того, какое содержимое было на странице ранее). В дальнейшем при клике мышью в любом месте страницы пользователи будут перенаправлены на нужный злоумышленникам сайт. Пример такого инжекта можно увидеть ниже.

Отмечается, что троян программа ведет статистику своей работы: отслеживает общее число атакованных сайтов, все случаи успешного применения эксплоитов и дополнительно — число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере* от компании Zotabox. Кроме того, малварь информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.

Вместе с текущей модификацией малвари специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:

  • Brizy WordPress Plugin;
  • FV Flowplayer Video Player;
  • WooCommerce;
  • WordPress Coming Soon Page;
  • WordPress theme OneTone;
  • Simple Fields WordPress Plugin;
  • WordPress Delucks SEO plugin;
  • Poll, Survey, Form & Quiz Maker by OpinionStage;
  • Social Metrics Tracker;
  • WPeMatico RSS Feed Fetcher;
  • Rich Reviews plugin.

При этом в обоих вариантах вредоноса была выявлена нереализованная функциональность для взлома учетных записей администраторов атакуемых сайтов с помощью брутфорса. Предполагается, что эта функция либо присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий малвари. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.

* Запрещен в России. Принадлежит Meta Platforms, которая признана экстремистской организацией и ее деятельность запрещена в России

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии