Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Linux-Backdoor-Malware infiziert WordPress-gestützte Websites
Januar 9, 2023 - TuxCare PR Team
Dr. Web hat Linux.BackDoor.WordPressExploit.1 entdeckt, ein Website-Hacking-Tool, das auf dem CMS WordPress basiert. Es nutzt 30 Sicherheitslücken in verschiedenen Plugins und Themes für WordPress aus.
Wenn Websites veraltete Versionen solcher Add-ons verwenden, die keine kritischen Korrekturen enthalten, werden bösartige JavaScripts in die angegriffenen Webseiten injiziert. Infolgedessen werden die Nutzer auf andere Websites umgeleitet, wenn sie auf einen beliebigen Teil einer angegriffenen Seite klicken.
Der Trojaner ist für 32-Bit-Linux-Versionen konzipiert, kann aber auch auf 64-Bit-Versionen ausgeführt werden. Seine Hauptfunktion besteht darin, WordPress-Websites mit Content-Management-System (CMS) zu hacken und bösartiges JavaScript in deren Webseiten zu injizieren. Diese Angriffe zielen auf veraltete Plugins und Themes ab, die Schwachstellen enthalten, die von Cyberkriminellen ausgenutzt werden können.
Zu den betroffenen Plugins gehören; WP Live Chat Support Plugin, WordPress - Yuzo Related Posts, Yellow Pencil Visual Theme Customizer Plugin, Easysmtp, WP GDPR Compliance Plugin, Newspaper Theme on WordPress Access Control (Sicherheitslücke CVE-2016-10972), Thim Core, Google Code Inserter, Total Donations Plugin, Post Custom Templates Lite, WP Quick Booking Manager, Faceboor Live Chat by Zotabox, Blog Designer WordPress Plugin, WordPress Ultimate FAQ (Sicherheitslücken CVE-2019-17232 und CVE-2019-17233), WP-Matomo Integration (WP-Piwik), WordPress ND Shortcodes For Visual Composer, WP Live Chat, Coming Soon Page and Maintenance Mode, Hybrid, Brizy WordPress Plugin, FV Flowplayer Video Player, WooCommerce, WordPress Coming Soon Page, WordPress Theme OneTone, Simple Fields WordPress Plugin, WordPress Delucks SEO Plugin, Poll, Survey, Form & Quiz Maker by OpinionStage, Social Metrics Tracker, WPeMatico RSS Feed Fetcher, und Rich Reviews.
In einem Dr.Web-Beitrag vom 30. Dezember 2022 heißt es: "Wenn Websites veraltete Versionen solcher Add-ons verwenden, denen wichtige Korrekturen fehlen, werden die angegriffenen Webseiten mit bösartigen JavaScripts infiziert."
Wenn Benutzer versuchen, die missbrauchte WordPress-Seite aufzurufen, werden sie auf andere Websites umgeleitet. Der Angreifer wählt die Zielseite aus, die für Phishing, die Verbreitung von Malware oder andere bösartige Aktivitäten genutzt werden kann.
Diese Umleitungen können dazu dienen, unentdeckt zu bleiben und Phishing-, Malware-Verteilungs- und Malvertising-Kampagnen zu blockieren. Die Betreiber des Autoinjektors verkaufen ihre Dienste jedoch möglicherweise an andere Cyberkriminelle.
Die Hintertür entfesselt diese Angriffe, indem sie bekannte Schwachstellen in den oben erwähnten veralteten WordPress-Plugins und -Themes ausnutzt. Böswillige Akteure können sie aus der Ferne steuern, wobei das schädliche JavaScript von entfernten Servern stammt.
In seinem Beitrag zu diesem Thema erklärte Dr.Web außerdem, dass jede dieser Varianten "eine nicht implementierte Funktion zum Hacken der Administratorkonten von Ziel-Websites mittels eines Brute-Force-Angriffs enthält, bei dem bekannte Logins und Passwörter unter Verwendung spezieller Vokabeln verwendet werden." Wenn diese Funktion in zukünftigen Versionen dieser Backdoor-Malware implementiert wird, könnten sogar Plugins mit gepatchten Sicherheitslücken erfolgreich ausgenutzt werden.
Böswillige Akteure steuern den Trojaner aus der Ferne und übermitteln die Adresse der zu infizierenden Website über ihren Command-and-Control-Server (C&C). Die Bedrohungsakteure können die Malware auch aus der Ferne deaktivieren, sie abschalten und die Protokollierung ihrer Aktionen beenden.
Dr. Web erwähnt auch, dass es Leerlauffunktionen enthält, die Brute-Forcing-Angriffe auf Website-Administratorkonten ermöglichen würden.
Um sich gegen diese Bedrohung zu schützen, müssen die Administratoren von WordPress-Websites die Themes und Plugins, die auf der Website laufen, auf die neueste verfügbare Version aktualisieren und diejenigen, die nicht mehr weiterentwickelt werden, durch unterstützte Alternativen austauschen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
Sehen Sie sich diese Nachricht auf unserem Youtube-Kanal an: https://www.youtube.com/watch?v=S-KO8QIcdIk
