Daha önce bilinmeyen bir Linux kötü amaçlı yazılımı, kötü amaçlı JavaScript’i enjekte etmek için birden çok eski WordPress eklentisi ve temasındaki 30 güvenlik açığından yararlanıyor.
Antivirüs satıcısı Dr. Web tarafından hazırlanan bir rapora göre, kötü amaçlı yazılım hem 32 bit hem de 64 bit Linux sistemlerini hedef alarak operatörüne uzaktan komut verme yeteneği sağlıyor.
Truva atının ana işlevi, biri çalışana kadar art arda çalıştırılan bir dizi sabit kodlu istismar kullanarak WordPress sitelerini hacklemektir.
Hedeflenen eklentiler ve temalar şunlardır:
- WP Canlı Sohbet Destek Eklentisi
- WordPress – Yuzo İlgili Yazılar
- Sarı Kalem Görsel Tema Özelleştirici Eklentisi
- kolay smtp
- WP GDPR Uyumluluk Eklentisi
- WordPress Erişim Kontrolünde Gazete Teması (CVE-2016-10972)
- Thim Çekirdek
- Google Kod Yerleştirici
- Toplam Bağış Eklentisi
- Özel Şablonlar Lite Yayınlayın
- WP Hızlı Rezervasyon Yöneticisi
- Zotabox’tan Facebook Canlı Sohbet
- Blog Tasarımcısı WordPress Eklentisi
- WordPress Ultimate SSS (CVE-2019-17232 ve CVE-2019-17233)
- WP-Matomo Entegrasyonu (WP-Piwik)
- Görsel Besteci için WordPress ND Kısa Kodları
- WP Canlı Sohbet
- Çok Yakında Sayfası ve Bakım Modu
- Hibrit
Hedeflenen web sitesinde yukarıdakilerden herhangi birinin eski ve güvenlik açığı bulunan bir sürümü çalışıyorsa, kötü amaçlı yazılım, komut ve kontrol (C2) sunucusundan otomatik olarak kötü amaçlı JavaScript’i alır ve komut dosyasını web sitesi sitesine enjekte eder.
Etkilenen sayfalar, saldırganın seçtiği bir konuma yeniden yönlendirici görevi görür, bu nedenle şema en iyi terk edilmiş sitelerde çalışır.
Bu yeniden yönlendirmeler, tespit ve engellemeden kurtulmaya yardımcı olmak için kimlik avı, kötü amaçlı yazılım dağıtımı ve kötü amaçlı reklam kampanyalarında kullanılabilir. Bununla birlikte, otomatik enjektör operatörleri hizmetlerini diğer siber suçlulara satıyor olabilir.
Dr. Web’in vahşi doğada gözlemlediği yükün güncellenmiş bir sürümü, aşağıdaki WordPress eklentilerini de hedefliyor:
- Brizy WordPress Eklentisi
- FV Flowplayer Video Oynatıcı
- WooCommerce
- WordPress Çok Yakında Sayfası
- WordPress teması OneTone
- Basit Alanlar WordPress Eklentisi
- WordPress Delucks SEO eklentisi
- OpinionStage’den Anket, Anket, Form ve Sınav Yapıcı
- Sosyal Metrik İzleyici
- WPeMatico RSS Besleme Alıcısı
- Zengin İncelemeler eklentisi
Yeni varyantın hedeflediği yeni eklentiler, arka kapının gelişiminin şu anda aktif olduğunu gösteriyor.
Dr.Web ayrıca, her iki varyantın da şu anda etkin olmayan ve web sitesi yönetici hesaplarına kaba kuvvet saldırılarına izin verecek işlevsellik içerdiğinden bahseder.
Bu tehdide karşı savunma, WordPress web sitelerinin yöneticilerinin sitede çalışan temaları ve eklentileri mevcut en son sürüme güncellemelerini ve artık geliştirilmeyenleri desteklenen alternatiflerle değiştirmelerini gerektirir.
Güçlü parolalar kullanmak ve iki faktörlü kimlik doğrulama mekanizmasını etkinleştirmek, kaba kuvvet saldırılarına karşı koruma sağlamalıdır.