Un malware de puerta trasera de Linux infecta sitios web basados en WordPress

Dr. Web ha descubierto Linux.BackDoor.WordPressExploit.1, una herramienta de pirateo de sitios web basada en el CMS WordPress. Se aprovecha de 30 vulnerabilidades en varios plugins y temas para WordPress.

Cuando los sitios web utilizan versiones obsoletas de dichos complementos que carecen de correcciones críticas, se inyectan JavaScripts maliciosos en las páginas web atacadas. Como resultado, los usuarios son redirigidos a otros sitios cuando hacen clic en cualquier parte de una página atacada.

El troyano está diseñado para las versiones de Linux de 32 bits, pero también puede ejecutarse en versiones de 64 bits. Su función principal es piratear sitios web del sistema de gestión de contenidos (CMS) WordPress e inyectar JavaScript malicioso en sus páginas web. Estos ataques se dirigen a plugins y temas obsoletos que contienen vulnerabilidades que los ciberdelincuentes pueden aprovechar.

Los plugins atacados incluyen; WP Live Chat Support Plugin, WordPress - Yuzo Related Posts, Yellow Pencil Visual Theme Customizer Plugin, Easysmtp, WP GDPR Compliance Plugin, Newspaper Theme on WordPress Access Control (vulnerabilidad CVE-2016-10972), Thim Core, Google Code Inserter, Total Donations Plugin, Post Custom Templates Lite, WP Quick Booking Manager, Faceboor Live Chat by Zotabox, Blog Designer WordPress Plugin, WordPress Ultimate FAQ (vulnerabilidades CVE-2019-17232 y CVE-2019-17233), WP-Matomo Integration (WP-Piwik), WordPress ND Shortcodes For Visual Composer, WP Live Chat, Coming Soon Page y Maintenance Mode, Hybrid, Brizy WordPress Plugin, FV Flowplayer Video Player, WooCommerce, WordPress Coming Soon Page, WordPress theme OneTone, Simple Fields WordPress Plugin, WordPress Delucks SEO plugin, Poll, Survey, Form & Quiz Maker by OpinionStage, Social Metrics Tracker, WPeMatico RSS Feed Fetcher y Rich Reviews.

En un post de Dr.Web publicado el 30 de diciembre de 2022, se afirmaba que "si los sitios utilizan versiones obsoletas de dichos complementos, que carecen de correcciones cruciales, las páginas web objetivo se inyectan con JavaScripts maliciosos".

Cuando los usuarios intentan acceder a la página abusada de WordPress, son redirigidos a otros sitios. El atacante selecciona el sitio de destino, que puede utilizarse para phishing, distribución de malware u otras actividades maliciosas.

Estas redirecciones pueden utilizarse para ayudar a pasar desapercibido y bloquear en campañas de phishing, distribución de malware y malvertising. Sin embargo, los operadores de auto-inyectores pueden estar vendiendo sus servicios a otros ciberdelincuentes.

La puerta trasera desencadena estos ataques aprovechando vulnerabilidades conocidas en los mencionados plugins y temas obsoletos de WordPress. Los actores maliciosos pueden controlarlo de forma remota, con el JavaScript dañino procedente de servidores remotos.

En su post sobre el tema, Dr.Web también afirmó que cada una de estas variantes contiene "una funcionalidad no implementada para hackear las cuentas de administrador de los sitios web objetivo mediante un ataque de fuerza bruta, aplicando nombres de usuario y contraseñas conocidos, utilizando vocabularios especiales". Además, si esta función se implementa en futuras versiones de este malware de puerta trasera, incluso los plugins con vulnerabilidades parcheadas podrían ser explotados con éxito.

Los actores maliciosos controlan remotamente el troyano y comunican la dirección del sitio web a infectar a través de su servidor de comando y control (C&C). Los actores de la amenaza también pueden desactivar el malware a distancia, apagarlo y dejar de registrar sus acciones.

Dr. Web también menciona que incluye funciones de inactividad que permitirían realizar ataques de fuerza bruta contra cuentas de administradores de sitios web.

Para defenderse de esta amenaza, los administradores de sitios web WordPress deben actualizar los temas y plugins que se ejecutan en el sitio a la última versión disponible y cambiar los que ya no se desarrollan por alternativas compatibles.

Las fuentes de este artículo incluyen un artículo en BleepingComputer.

Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=S-KO8QIcdIk

Resumen

Nombre del artículo

Un malware de puerta trasera de Linux infecta sitios web basados en WordPress

Descripción

Dr. Web ha descubierto Linux.BackDoor.WordPressExploit.1, una herramienta de pirateo de sitios web basada en el CMS WordPress.

Autor

Obanla Opeyemi

Nombre del editor

TuxCare

Logotipo de la editorial