Un logiciel malveillant à porte dérobée Linux infecte les sites Web fonctionnant sous WordPress
Dr. Web a découvert Linux.BackDoor.WordPressExploit.1, un outil de piratage de sites web basé sur le CMS WordPress. Il tire parti de 30 vulnérabilités dans divers plugins et thèmes pour WordPress.
Lorsque des sites Web utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs critiques, des JavaScripts malveillants sont injectés dans les pages Web visées. En conséquence, les utilisateurs sont redirigés vers d'autres sites lorsqu'ils cliquent sur une partie quelconque d'une page attaquée.
Le cheval de Troie est conçu pour cibler les versions 32 bits de Linux, mais il peut également fonctionner sur les versions 64 bits. Sa fonction principale est de pirater les sites Web de systèmes de gestion de contenu (CMS) WordPress et d'injecter du JavaScript malveillant dans leurs pages Web. Ces attaques ciblent les plugins et les thèmes obsolètes qui contiennent des vulnérabilités que les cybercriminels peuvent exploiter.
Les plugins ciblés comprennent ; WP Live Chat Support Plugin, WordPress - Yuzo Related Posts, Yellow Pencil Visual Theme Customizer Plugin, Easysmtp, WP GDPR Compliance Plugin, Newspaper Theme on WordPress Access Control (vulnérabilité CVE-2016-10972), Thim Core, Google Code Inserter, Total Donations Plugin, Post Custom Templates Lite, WP Quick Booking Manager, Faceboor Live Chat by Zotabox, Blog Designer WordPress Plugin, WordPress Ultimate FAQ (vulnérabilités CVE-2019-17232 et CVE-2019-17233), WP-Matomo Integration (WP-Piwik), WordPress ND Shortcodes For Visual Composer, WP Live Chat, Coming Soon Page and Maintenance Mode, Hybrid, Brizy WordPress Plugin, FV Flowplayer Video Player, WooCommerce, WordPress Coming Soon Page, WordPress theme OneTone, Simple Fields WordPress Plugin, WordPress Delucks SEO plugin, Poll, Survey, Form & Quiz Maker by OpinionStage, Social Metrics Tracker, WPeMatico RSS Feed Fetcher, and Rich Reviews.
Dans un article de Dr.Web publié le 30 décembre 2022, il est indiqué que "si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs cruciaux, les pages Web ciblées sont injectées avec des JavaScripts malveillants."
Lorsque les utilisateurs tentent d'accéder à la page WordPress abusée, ils sont redirigés vers d'autres sites. L'attaquant choisit le site de destination, qui peut être utilisé pour le phishing, la distribution de logiciels malveillants ou d'autres activités malveillantes.
Ces redirections peuvent être utilisées pour passer inaperçues et bloquer les campagnes de phishing, de distribution de logiciels malveillants et de publicité mensongère. Cependant, les opérateurs d'auto-injecteurs peuvent vendre leurs services à d'autres cybercriminels.
La porte dérobée déclenche ces attaques en exploitant des vulnérabilités connues dans les plugins et thèmes WordPress obsolètes susmentionnés. Les acteurs malveillants peuvent le contrôler à distance, le JavaScript nuisible provenant de serveurs distants.
Dans son billet sur le sujet, Dr.Web indique également que chacune de ces variantes contient "une fonctionnalité non implémentée permettant de pirater les comptes administrateurs des sites Web ciblés à l'aide d'une attaque par force brute - en appliquant des identifiants et des mots de passe connus, en utilisant des vocabulaires spéciaux". En outre, si cette fonctionnalité est implémentée dans les futures versions de ce malware à porte dérobée, même les plugins dont les vulnérabilités sont corrigées pourraient être exploités avec succès.
Les acteurs malveillants contrôlent le cheval de Troie à distance et communiquent l'adresse du site web à infecter via son serveur de commande et de contrôle (C&C). Les acteurs de la menace peuvent également désactiver à distance le logiciel malveillant, l'arrêter et cesser d'enregistrer ses actions.
Dr. Web mentionne également qu'il inclut des fonctionnalités inactives qui permettraient des attaques en force brute contre les comptes d'administrateurs de sites Web.
Pour se défendre contre cette menace, les administrateurs de sites Web WordPress doivent mettre à jour les thèmes et les plugins fonctionnant sur le site vers la dernière version disponible et remplacer ceux qui ne sont plus développés par des alternatives qui sont prises en charge.
Les sources de cet article comprennent un article de BleepingComputer.
Regardez cette nouvelle sur notre chaîne Youtube : https://www.youtube.com/watch?v=S-KO8QIcdIk