Неодамна беше откриен нов малициозен софтвер кој ги искористува безбедносните пропусти во околу триесет различни додатоци на WordPress. Досега има заразено илјадници страници засновани на WordPress и се проценува дека е активен со години.
Овој малициозен софтвер инсталира задна врата која работи со пренасочување на корисниците на малициозни локации. Исто така, може да ги исклучи логирањата што може да го детектираат, може да оди во режим на подготвеност, па дури и целосно да се исклучи кога тоа е потребно, што се главните причини зошто е тешко да се открие. Се инсталира преку безбедносни пропусти во приклучоците, преку кои веб-администраторите активираат дополнителни функционалности на нивните сајтови, како што се системи за разговор, разни метрики итн. На таквите сајтови се „вбризгува“ злонамерен JavaScript, а истражувачите од компанијата Dr.Web го открија на најмалку 1300 заразени места.
Модулите за приклучоци преку чии безбедносни пропусти може да се инсталира овој малициозен софтвер се:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (vulnerability CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Facebook Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnerabilities CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
Доколку се експлоатира еден од пропустите во споменатите приклучоци, злонамерниот JavaScript код се презема од оддалечен сервер. Тој JavaScript прв се стартува, пред оригиналната содржина на страницата. И кога тоа ќе се случи, секогаш кога корисникот ќе кликне на врска на заразената страница, тој е пренасочен на една од локациите дефинирани од напаѓачот. Утврдено е дека станува збор за домените:
- lobbydesires[.]com
- letsmakeparty3[.]ga
- deliverygoodstrategies[.]com
- gabriellalovecats[.]com
- css[.]digestcolect[.]com
- clon[.]collectfasttracks[.]com
- Count[.]trackstatisticsss[.]com
Истражувачите откриле две верзии на BackDoor – Linux.BackDoor.WordPressExploit.1 и Linux.BackDoor.WordPressExploit.2 и велат дека малициозниот софтвер е активен повеќе од три години.