Resumen:
Un nuevo malware aprovecha 30 vulnerabilidades diferentes en múltiples plugins y complementos de WordPress para inyectar JavaScript malicioso.
De acuerdo con el informe del proveedor antivirus Dr. Web, el malware se dirige a todos los sistemas Linux de 32 y 64 bits.
El objetivo principal de la campaña es inyectar scripts maliciosos para permitirle a sus operadores controlar remotamente el sistema.
Algunos plugins vulnerados:
WP Live Chat Support Plugin
WordPress – Yuzo Related Posts
Yellow Pencil Visual Theme Customizer Plugin
WP GDPR Compliance Plugin
Thim Core
Google Code Inserter
Total Donations Plugin
Post Custom Templates Lite
WP Quick Booking Manager
Faceboor Live Chat by Zotabox
Blog Designer WordPress Plugin
WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
WordPress ND Shortcodes For Visual Composer
WP Live Chat
Si el usuario ejecuta alguna de estas versiones, el malware podría obtener el JavaScript malicioso de su servidor de comando y control (C2) de manera automática, para posteriormente inyectar un script malicioso.
Es preciso destacar que, las páginas infectadas actúan como redireccionadores a una ubicación elegida por los atacantes, por lo que el esquema funciona aún mejor cuando la operación se ejecuta en sitios abandonados.
Dado que las redirecciones podrían servir para diferentes ataques como campañas de phishing, distribución de malware y evasión de las medidas de detección y bloqueo, es probable que los operadores del malware estén vendiendo sus servicios a otros actores de la amenaza.
Hasta ahora, la más reciente versión del software malicioso detectada en la naturaleza, también se dirige a algunos de los siguientes complementos de WordPress:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
El uso de nuevos complementos solo indica que la variante está en desarrollo activo actualmente.
Los investigadores han comentado que ambas variantes contienen funcionalidades que le permitirían a los atacantes realizar ataques de fuerza bruta contra cuentas de administradores de sitios web.
Una vez dicho esto, se le insta a todos los usuarios a emplear contraseñas seguras, así como a activar la autenticación de dos factores en todos sus procesos.
Finalmente, cabe mencionar que los analistas señalan que los administradores de WordPress deben actualizar sus complementos tan pronto como les sea posible.
Recomendaciones:
Medidas para prevenir la descarga de malware
Mantenga todos sus dispositivos actualizados y parcheados
Active la autenticación de dos factores
No descargue archivos sospechosos
No abra enlaces que provengan de fuentes desconocidas
Ejecute soluciones anti-malware
Referencias:
https://news.drweb.com/show/?i=14646&lng=en&c=23https://www.bleepingcomputer.com/news/security/new-linux-malware-uses-30-plugin-exploits-to-backdoor-wordpress-sites/
SÍGUENOS