Eine bisher unbekannte Linux-Malware hat 30 Schwachstellen in mehreren veralteten WordPress-Plugins und -Themes ausgenutzt, um bösartiges JavaScript einzuschleusen.
Laut einem Bericht des Antivirenanbieters Dr. Web zielt die Malware sowohl auf 32-Bit- als auch auf 64-Bit-Linux-Systeme ab und gibt ihrem Betreiber die Möglichkeit der Fernwartung.
Die Hauptfunktion des Trojaners ist das Hacken von WordPress-Websites mithilfe einer Reihe von fest kodierten Exploits, die nacheinander ausgeführt werden, bis einer von ihnen funktioniert.
Die betroffenen Plugins und Themes sind die folgenden:
- WP Live Chat Support Plugin
- WordPress - Yuzo Verwandte Beiträge
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR-Compliance-Plugin
- Newspaper Theme auf WordPress Zugriffskontrolle (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat von Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 und CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes für Visual Composer
- WP Live Chat
- Coming Soon Page und Wartungsmodus
- Hybrid
Wenn auf der angegriffenen Website eine veraltete und anfällige Version einer der oben genannten Programme läuft, holt sich die Malware automatisch bösartiges JavaScript von ihrem Command-and-Control-Server (C2) und injiziert das Skript in die Website.
Die infizierten Seiten leiten den Angreifer an einen Ort seiner Wahl weiter, sodass die Methode am besten auf unbelebten Websites funktioniert.
Diese Umleitungen können in Phishing-, Malware-Verbreitungs- und Malvertising-Kampagnen eingesetzt werden, um der Erkennung und Blockierung zu entgehen. Allerdings könnten die Betreiber des Autoinjektors ihre Dienste auch an andere Cyberkriminelle verkaufen.
Eine aktualisierte Version der Nutzlast, die Dr. Web in freier Wildbahn beobachtet hat, zielt auch auf die folgenden WordPress-Add-ons ab:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Seite
- WordPress Thema OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO-Plugin
- Poll, Survey, Form & Quiz Maker von OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews Plugin
Die neuen Add-ons, auf die es die neue Variante abgesehen hat, deuten darauf hin, dass die Entwicklung der Hintertür derzeit aktiv ist.
Dr. Web weist außerdem darauf hin, dass beide Varianten Funktionen enthalten, die derzeit inaktiv sind und Brute-Forcing-Angriffe auf Website-Administratorenkonten ermöglichen würden.
Um sich gegen diese Bedrohung zu schützen, müssen Administratoren von WordPress-Websites ihre Themes und Plugins auf die neueste verfügbare Version aktualisieren und diejenigen, die nicht mehr weiterentwickelt werden, durch unterstützte Alternativen ersetzen.
Die Verwendung von starken Passwörtern und die Aktivierung der Zwei-Faktor-Authentifizierung sollten Schutz vor Brute-Force-Angriffen bieten.