Backdoor Linux infetta siti WordPress
Topic
Approfondimenti
Trending
tutti

Backdoor Linux infetta siti WordPress

Una backdoor Linux è stata utilizzata per infettare siti WordPress ed eseguire varie attività, sfruttando le vulnerabilità di 30 plugin e temi.
Backdoor Linux infetta siti WordPress
Sicurezza Antivirus Antivirus
Una backdoor Linux è stata utilizzata per infettare siti WordPress ed eseguire varie attività, sfruttando le vulnerabilità di 30 plugin e temi.
Pixabay

I ricercatori di Dr.Web hanno scoperto una backdoor Linux che ignoti cybercriminali hanno utilizzato per attaccare siti web realizzati con il noto CMS WordPress. Sfruttando le vulnerabilità presenti in 30 plugin e temi è possibile portare gli ignari utenti su siti esterni ed eseguire varie attività illecite. Il consiglio è installare una soluzione di sicurezza che blocca l’accesso ai siti infetti.

Proteggi tutti i dispositivi con Bitdefender Total Security

Backdoor Linux per siti WordPress

WordPress è uno dei CMS più popolari, quindi è anche uno dei bersagli preferiti da cybercriminali. Il malware scoperto dai ricercatori di Dr.Web è compatibile con i siti basati su Linux a 32 e 64 bit. La funzionalità principale è quella di prendere il controllo da remoto, iniettando codice JavaScript nelle pagine web.

Dopo aver ricevuto dal server C2C (command and control) l’indirizzo del sito da infettare, la backdoor verifica la presenza di questi plugin e temi con note vulnerabilità:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

Se viene trovata, il malware sfrutta la vulnerabilità per iniettare codice JavaScript che viene eseguito al caricamento della pagina. Se l’utente clicca in qualsiasi punto verrà aperto un sito web controllato dai cybercriminali. Una versione più recente cerca vulnerabilità nei seguenti plugin:

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

I siti esterni possono essere utilizzati per rubare i dati personali dell’utente (phishing) o per distribuire altri malware. Entrambe le versioni hanno una funzionalità non attiva che consente di effettuare attacchi brute force per cercare la password di amministratore.

Fonte: Dr.Web

Pubblicato il 30 dic 2022

Link copiato negli appunti

Ti potrebbe interessare

Redline Stealer nascosto in falso game cheat

Redline Stealer nascosto in falso game cheat
LabHost: chiuso il PhaaS e arrestate 37 persone

LabHost: chiuso il PhaaS e arrestate 37 persone
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
SoumniBot: nuovo trojan bancario per Android

SoumniBot: nuovo trojan bancario per Android
Redline Stealer nascosto in falso game cheat

Redline Stealer nascosto in falso game cheat
LabHost: chiuso il PhaaS e arrestate 37 persone

LabHost: chiuso il PhaaS e arrestate 37 persone
In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%

In scadenza l’offerta antivirus di Kaspersky: sconti fino al 60%
SoumniBot: nuovo trojan bancario per Android

SoumniBot: nuovo trojan bancario per Android
Luca Colantuoni
Pubblicato il
30 dic 2022
Link copiato negli appunti