MKD-CIRT National Centre for Computer Incident Response
Веб-страниците на WordPress се цел на претходно непознат вид на малициозен софтвер на Linux што ги искористува недостатоците во над дваесетина плагини и теми за да ги зарази ранливите системи.
„Ако страниците користат застарени верзии на такви додатоци, на кои им недостасуваат клучни поправки, целните веб-страници се заразуваат со малициозни JavaScripts кодови“, изјави Doctor Web во извештајот објавен минатата недела.
„Како резултат на тоа, кога корисниците ќе кликнат на заразената страница, тие се пренасочуваат на други страници.
Нападите вклучуваат заразување на список со познати безбедносни пропусти во 19 различни плагини и теми кои најверојатно се инсталирани на WordPress веб-страница, користејќи ги за распоредување имплант што може да таргетира одредена веб-страница за дополнително да ја прошири мрежата.
Исто така, може да вметне JavaScript код преземен од оддалечен сервер со цел да ги пренасочи посетителите на страницата на произволна веб-страница по избор на напаѓачот.
Doctor Web соопшти дека идентификувал втора верзија на backdoor, која користи нов домен за команда и контрола (C2), како и ажурирана листа на недостатоци што опфаќа 11 дополнителни плагини, со што вкупниот број достигна 30.
Двете варијанти вклучуваат не имплементиран метод за brute forcing на администраторските сметки на WordPress, иако не е јасно дали тоа е остаток од претходната верзија или функционалност што допрва треба да се открие.
„Доколку таква опција се имплементира во поновите верзии на backdoor, сајбер – криминалците ќе можат успешно да нападнат некои од оние веб-страници кои користат тековни верзии на плагини со закрпени пропусти“, велат од компанијата.
На корисниците на WordPress им се препорачува да ги ажурираат сите компоненти на платформата, вклучувајќи додатоци и теми од трети страни. Исто така, се препорачува да се користат силни и уникатни најавувања и лозинки за да се заштитат нивните сметки.
Обелоденувањето доаѓа неколку недели откако Fortinet FortiGuard Labs детално анализираше друг ботнет наречен GoTrim кој е дизајниран да ги присилува веб-страниците сами да се хостираат со користење на WordPress content management system (CMS) за преземање контрола врз целните системи.
Пред два месеци, Sucuri забележа дека повеќе од 15.000 WordPress страници биле пробиени како дел од малициозна кампања за пренасочување на посетителите на лажни портали за прашања и одговори. Бројот на активни инфекции во моментов изнесува 9. 314.
Компанијата за безбедност на веб-страници во сопственост на GoDaddy, во јуни 2022 година, исто така сподели информации за traffic direction system (TDS) познат како Parrot кој е забележан како цели на веб-страниците на WordPress со лажен JavaScript код што додава дополнителен малициозен софтвер на хакирани системи.
Извор: The Hacker News
