Pesquisadores de segurança da Doctor Web, uma empresa de segurança focada na detecção e prevenção de ameaças, descobriram um programa Linux malicioso que tem como alvo sites WordPress executando plugins e temas desatualizados e vulneráveis.
O malware visa versões de 32 bits do Linux, mas também é capaz de rodar em versões de 64 bits. Ele explora 30 vulnerabilidades de tema e plug-in para injetar JavaScript malicioso em sites, redirecionando os visitantes para o site selecionado pelo invasor.
O relatório afirma que a análise do aplicativo pela Doctor Webs revelou que “poderia ser a ferramenta maliciosa que os cibercriminosos usam há mais de três anos para realizar esses ataques e monetizar a revenda de tráfego ou arbitragem”. Durante esse período, a ferramenta foi atualizada para atingir vulnerabilidades mais exploráveis.
Existem duas versões do malware – Linux.BackDoor.WordPressExploit.1 e Linux.BackDoor.WordPressExploit.2 . A versão 1 procura explorar vulnerabilidades em plugins populares como WP GDPR Compliance, Easysmtp, WP Live Chat e uma dúzia de outras extensões gratuitas e comerciais. Alguns deles são conhecidos por terem vulnerabilidades frequentes e um foi fechado devido a violações de diretrizes, mas ainda pode estar ativo em alguns sites.
Uma versão 2 atualizada tem um endereço de servidor diferente para distribuir o JavaScript malicioso e uma lista adicional de vulnerabilidades exploradas para alguns plugins mais amplamente usados, incluindo FV Flowplayer Video Player, Brizy Page Builder, WooCommerce e muito mais.
O relatório do Doctor Web também especula que os invasores podem ter elaborado um longo plano de jogo que lhes dará acesso administrativo mesmo depois que os usuários atualizarem para versões mais recentes (corrigidas) dos plug-ins comprometidos:
Verificou-se que ambas as variantes de trojan contêm funcionalidades não implementadas para hackear as contas de administrador de sites-alvo por meio de um ataque de força bruta – aplicando logins e senhas conhecidos, usando vocabulários especiais. É possível que essa funcionalidade estivesse presente em modificações anteriores ou, inversamente, que os invasores planejem usá-la para versões futuras desse malware. Se tal opção for implementada em versões mais recentes do backdoor, os cibercriminosos poderão até mesmo atacar com sucesso alguns desses sites que usam versões atuais de plugins com vulnerabilidades corrigidas.
O Doctor Web publicou um documento com indicadores de comprometimento , detalhando hashes, IPs e domínios que o malware backdoor do Linux tem usado para infectar sites WordPress.