Un malware de Linux previamente desconocido ha estado explotando 30 vulnerabilidades en múltiples complementos y temas obsoletos de WordPress para inyectar JavaScript malicioso.
Según un informe del proveedor de antivirus Dr. Web , el malware se dirige a los sistemas Linux de 32 y 64 bits, lo que brinda a su operador capacidades de comando remoto.
La funcionalidad principal del troyano es piratear sitios de WordPress utilizando un conjunto de exploits codificados que se ejecutan sucesivamente, hasta que uno de ellos funciona.
Los complementos y temas específicos son los siguientes:
- Complemento de soporte de chat en vivo de WP
- WordPress - Publicaciones relacionadas con Yuzo
- Complemento personalizador de tema visual de lápiz amarillo
- Easysmtp
- Complemento de cumplimiento de WP GDPR
- Tema de periódico en el control de acceso de WordPress (CVE-2016-10972)
- Thim Core
- Insertador de código de Google
- Complemento de donaciones totales
- Publicar plantillas personalizadas Lite
- Administrador de reservas rápidas de WP
- Chat en vivo de Facebook por Zotabox
- Complemento de WordPress para diseñador de blogs
- Preguntas frecuentes de WordPress Ultimate (CVE-2019-17232 y CVE-2019-17233)
- Integración WP-Matomo (WP-Piwik)
- Códigos cortos de WordPress ND para Visual Composer
- Chat en vivo de WP
- Próximamente página y modo de mantenimiento
- Híbrido
Si el sitio web objetivo ejecuta una versión desactualizada y vulnerable de cualquiera de los anteriores, el malware obtiene automáticamente JavaScript malicioso de su servidor de comando y control (C2) e inyecta el script en el sitio del sitio web.
Las páginas infectadas actúan como redireccionadores a una ubicación elegida por el atacante, por lo que el esquema funciona mejor en sitios abandonados.
Estas redirecciones pueden servir en campañas de phishing, distribución de malware y publicidad maliciosa para ayudar a evadir la detección y el bloqueo. Dicho esto, los operadores del autoinyector podrían estar vendiendo sus servicios a otros ciberdelincuentes.
Una versión actualizada de la carga útil que Dr. Web observó en la naturaleza también apunta a los siguientes complementos de WordPress:
- Complemento Brizy de WordPress
- Reproductor de vídeo FV Flowplayer
- WooCommerce
- Próximamente página de WordPress
- Tema de WordPress OneTone
- Complemento de WordPress de campos simples
- Complemento SEO de WordPress Delucks
- Creador de encuestas, encuestas, formularios y cuestionarios de OpinionStage
- Rastreador de métricas sociales
- Buscador de fuentes RSS de WPeMatico
- Complemento de revisiones enriquecidas
Los nuevos complementos a los que apunta la nueva variante indican que el desarrollo de la puerta trasera está activo en este momento.
Dr. Web también menciona que ambas variantes contienen una funcionalidad que actualmente está inactiva, lo que permitiría ataques de fuerza bruta contra cuentas de administradores de sitios web.
La defensa contra esta amenaza requiere que los administradores de los sitios web de WordPress actualicen a la última versión disponible los temas y complementos que se ejecutan en el sitio y reemplacen aquellos que ya no están desarrollados con alternativas compatibles.
El uso de contraseñas seguras y la activación del mecanismo de autenticación de dos factores debería garantizar la protección contra ataques de fuerza bruta.
Fuente: https://www.bleepingcomputer.com
No hay comentarios.:
Publicar un comentario