بدافزار Backdoor لینوکس سایت های وردپرس را با تم ها و پلاگین های قدیمی و آسیب پذیر هدف قرار می دهد – WP Tavern

دو نسخه از بدافزار وجود دارد – Linux.BackDoor.WordPressExploit.1 و Linux.BackDoor.WordPressExploit.2. نسخه 1 به دنبال سوء استفاده از آسیب پذیری های افزونه های محبوب مانند WP GDPR Compliance، Easysmtp، WP Live Chat و ده ها افزونه رایگان و تجاری دیگر است. تعداد کمی از این آسیب‌پذیری‌های مکرر شناخته شده‌اند و یکی از آنها آسیب‌پذیر بوده است به دلیل نقض دستورالعمل بسته شد اما ممکن است همچنان در برخی از سایت ها فعال باشد.

در این گزارش آمده است که تجزیه و تحلیل دکتر وبز از این برنامه نشان داد که این می تواند ابزار مخربی باشد که مجرمان سایبری بیش از سه سال از آن برای انجام چنین حملاتی و کسب درآمد از فروش مجدد ترافیک یا آربیتراژ استفاده می کنند. در طول این مدت، این ابزار برای هدف قرار دادن آسیب پذیری های قابل بهره برداری بیشتر به روز شده است.

نسخه 2 به روز شده دارای یک آدرس سرور متفاوت برای توزیع جاوا اسکریپت مخرب و یک لیست اضافی از آسیب پذیری های مورد سوء استفاده برای چند افزونه پرکاربردتر، از جمله FV Flowplayer Video Player، Brizy Page Builder، WooCommerce و غیره است.

مشخص شده است که هر دو نوع تروجان دارای قابلیت اجرا نشده برای هک کردن حساب‌های مدیر وب‌سایت‌های هدف از طریق یک حمله brute-force هستند – با استفاده از لاگین‌ها و رمزهای عبور شناخته‌شده، با استفاده از واژگان خاص. ممکن است این عملکرد در تغییرات قبلی وجود داشته باشد، یا برعکس، مهاجمان قصد دارند از آن برای نسخه‌های آینده این بدافزار استفاده کنند. اگر چنین گزینه ای در نسخه های جدیدتر Backdoor پیاده سازی شود، مجرمان سایبری حتی می توانند با موفقیت به برخی از وب سایت هایی که از نسخه های افزونه فعلی با آسیب پذیری های اصلاح شده استفاده می کنند، حمله کنند.

دکتر وب سندی با شاخص های سازش، جزئیات هش ها، IP ها و دامنه هایی را که بدافزار پشتی لینوکس برای آلوده کردن وب سایت های وردپرس استفاده کرده است، ارائه می دهد.


منبع: https://wptavern.com/linux-backdoor-malware-targets-wordpress-sites-with-outdated-vulnerable-themes-and-plugins

گزارش دکتر وب همچنین حدس می‌زند که مهاجمان ممکن است یک برنامه بازی طولانی را طراحی کرده باشند که حتی پس از به‌روزرسانی کاربران به نسخه‌های جدیدتر (وصله‌شده) افزونه‌های در معرض خطر، به آنها دسترسی مدیریتی می‌دهد:

این بدافزار نسخه های 32 بیتی لینوکس را هدف قرار می دهد، اما می تواند روی نسخه های 64 بیتی نیز اجرا شود. از 30 آسیب‌پذیری تم و افزونه برای تزریق جاوا اسکریپت مخرب به وب‌سایت‌ها سوء استفاده می‌کند و بازدیدکنندگان را به وب‌سایت انتخابی مهاجم هدایت می‌کند.

محققان امنیتی در Doctor Web، یک شرکت امنیتی با تمرکز بر تشخیص و پیشگیری از تهدید، این کار را انجام داده‌اند یک برنامه مخرب لینوکس را کشف کرد که سایت های وردپرس را هدف قرار می دهد اجرای پلاگین ها و تم های قدیمی و آسیب پذیر.