Złośliwe oprogramowanie, które wykorzystuje niezałatane luki w zabezpieczeniach 30 różnych wtyczek WordPress, zainfekowało setki, jeśli nie tysiące witryn i mogło być aktywnie używane od lat, zgodnie z zapisem opublikowanym w zeszłym tygodniu.

Złośliwe oprogramowanie oparte na systemie Linux instaluje backdoora, który powoduje, że zainfekowane witryny przekierowują odwiedzających do złośliwych witryn, twierdzą naukowcy z firmy zajmującej się bezpieczeństwem Dr.Web. Jest również w stanie wyłączyć rejestrowanie zdarzeń, przejść w tryb gotowości i wyłączyć się. Jest instalowany poprzez wykorzystanie już załatanych luk w zabezpieczeniach wtyczek, których właściciele witryn używają do dodawania funkcji, takich jak czat na żywo lub raportowanie metryk, do podstawowego systemu zarządzania treścią WordPress.

„Jeśli witryny korzystają z przestarzałych wersji takich dodatków, pozbawionych kluczowych poprawek, docelowe strony internetowe są wstrzykiwane złośliwymi skryptami JavaScript” – napisali badacze Dr.Web. „W rezultacie, gdy użytkownicy klikają dowolny obszar zaatakowanej strony, są przekierowywani do innych witryn”.

Wyszukiwania takie jak to wskazują, że ponad 1300 witryn zawiera kod JavaScript, który napędza backdoora. Możliwe, że niektóre z tych witryn usunęły złośliwy kod od czasu ostatniego skanowania. Mimo to dostarcza informacji o zasięgu szkodliwego oprogramowania.

Wykorzystywane wtyczki obejmują:

• Wtyczka obsługi czatu na żywo WP
• WordPress – Posty powiązane z Yuzo
• Wtyczka dostosowywania motywu żółtego ołówka
• Easysmtp
• Wtyczka zgodności WP z RODO
• Motyw gazety w kontroli dostępu WordPress (luka w zabezpieczeniach CVE-2016-10972)
• Thim Core
• Wprowadzacz kodu Google
• Wtyczka Total Donations
• Opublikuj niestandardowe szablony Lite
• Menedżer szybkiej rezerwacji WP
• Czat na żywo na Facebooku od Zotabox
• Wtyczka WordPress do projektowania blogów
• WordPress Ultimate FAQ (luki w zabezpieczeniach CVE-2019-17232 i CVE-2019-17233)
• Integracja WP-Matomo (WP-Piwik)
• Skróty WordPress ND dla Visual Composer
• Czat na żywo WP
• Wkrótce strona i tryb konserwacji
• Hybrydowy
• Brzydka wtyczka WordPress
• Odtwarzacz wideo FV Flowplayer
• WooCommerce
• Strona wkrótce dostępna w WordPressie
• Motyw WordPress OneTone
• Wtyczka WordPress Simple Fields
• Wtyczka WordPress Delucks SEO
• Narzędzie do tworzenia ankiet, ankiet, formularzy i quizów autorstwa OpinionStage
• Śledzenie wskaźników społecznościowych
• Moduł pobierania kanałów RSS WPeMatico
• Wtyczka Rich Recenzje

„Jeśli jedna lub więcej luk zostanie pomyślnie wykorzystana, do docelowej strony zostanie wstrzyknięty złośliwy kod JavaScript, który zostanie pobrany ze zdalnego serwera” — wyjaśniono w artykule Dr.Web. „Dzięki temu wstrzykiwanie odbywa się w taki sposób, że po załadowaniu zainfekowanej strony ten JavaScript zostanie zainicjowany jako pierwszy – niezależnie od oryginalnej zawartości strony. W tym momencie, ilekroć użytkownicy klikną gdziekolwiek na zainfekowanej stronie, zostaną przeniesieni na stronę, do której atakujący potrzebują użytkowników”.

JavaScript zawiera odsyłacze do różnych złośliwych domen, w tym:

pragnienia lobbowania[.]kom
zróbmyimprezę3[.]ga
dostawadobrystrategie[.]kom
gabriellalovecats[.]kom
css[.]podsumowanie[.]kom
klon[.]zbierajszybkie ścieżki[.]kom
Liczyć[.]statystyki torów ss[.]kom

Poniższy zrzut ekranu pokazuje, jak JavaScript wygląda w źródle strony zainfekowanej witryny:

Naukowcy odkryli dwie wersje backdoora: Linux.BackDoor.WordPressExploit.1 i Linux.BackDoor.WordPressExploit.2. Powiedzieli, że złośliwe oprogramowanie mogło być używane przez trzy lata.

Wtyczki WordPress od dawna są powszechnym sposobem infekowania witryn. Podczas gdy bezpieczeństwo głównej aplikacji jest dość solidne, wiele wtyczek jest pełnych luk, które mogą prowadzić do infekcji. Przestępcy wykorzystują zainfekowane witryny do przekierowywania odwiedzających do witryn wykorzystywanych do phishingu, oszustw reklamowych i dystrybucji złośliwego oprogramowania.

Osoby prowadzące witryny WordPress powinny upewnić się, że używają najnowszych wersji głównego oprogramowania, a także wszelkich wtyczek. Powinni priorytetowo potraktować aktualizację którejkolwiek z wtyczek wymienionych powyżej.