专注于威胁检测和预防的安全公司Doctor Web的安全研究人员发现了一个恶意的Linux程序,它的目标是运行过时和脆弱的插件和主题的WordPress网站。
该恶意软件以32位版本的Linux为目标,但它也能在64位版本上运行。它利用30个主题和插件漏洞,向网站注入恶意的JavaScript,将访问者重定向到攻击者选定的网站。
报告指出,Doctor Webs对该应用程序的分析显示,”它可能是网络犯罪分子三年多来一直使用的恶意工具,以进行此类攻击并通过转售流量或套利盈利”。在这段时间里,该工具已被更新,以针对更多可利用的漏洞。
该恶意软件有两个版本–Linux.BackDoor.WordPressExploit.1和Linux.BackDoor.WordPressExploit.2。版本1试图利用流行插件的漏洞,如WP GDPR Compliance、Easysmtp、WP Live Chat以及其他十几个免费和商业扩展。其中有几个已经知道有频繁的漏洞,有一个由于违反准则而被关闭,但可能仍在一些网站上活跃。
更新后的第二版有一个不同的服务器地址,用于分发恶意的JavaScript,并增加了一些更广泛使用的插件的被利用漏洞列表,包括FV Flowplayer视频播放器、Brizy Page Builder、WooCommerce等。
Doctor Web的报告还推测,攻击者可能设计了一个长期的游戏计划,即使在用户更新到被攻击的插件的较新(打过补丁)版本后,他们也能获得管理权限。
这两个木马变种都被发现含有未实现的功能,可以通过暴力攻击入侵目标网站的管理员账户–应用已知的登录名和密码,使用特殊的词汇。这种功能有可能存在于早期的修改中,或者反过来说,攻击者计划将其用于该恶意软件的未来版本。如果这样的选项在新版本的后门中实现,网络犯罪分子甚至能够成功地攻击一些使用当前插件版本的网站,这些网站的漏洞已经打了补丁。
Doctor Web发布了一份文件,其中包含妥协的指标,详细说明了Linux后门恶意软件用来感染WordPress网站的哈希值、IP和域名。
暂无评论内容