Novo malware Linux explorando mais de 20 falhas de CMS em sites WP

Publicados: 2023-02-06

Surgiu um novo malware do Linux que tira proveito das vulnerabilidades de segurança nos temas do WordPress e plugins de sites executados em uma plataforma Linux. Executando Javascript para atingir o código-fonte do site, o malware pode ajudar os cibercriminosos a lançar ataques DDoS, acessar dados confidenciais e redirecionar usuários para sites maliciosos.

Este artigo fornecerá uma visão geral abrangente desse novo malware do Linux, discutindo como ele funciona, as falhas do CMS que podem ser exploradas e o que pode ser feito para evitar esse tipo de ataque.

O que é um ataque de malware Linux?

Muitos dos ambientes de nuvem atuais são baseados em um sistema operacional Linux. Por causa disso, os ataques cibernéticos direcionados diretamente a hosts da Web que usam Linux estão aumentando. Ao se infiltrar com sucesso em um ambiente Linux, os cibercriminosos podem acessar uma variedade de dados confidenciais, executar malware e potencialmente causar danos de longo prazo à infraestrutura de TI.

Novo malware Linux encontrado
Aviso de malware Linux

Desde 2020, os vírus trojan e ransomware têm sido as formas mais comuns de ataques de malware baseados em Linux.

Vulnerabilidades, como as últimas falhas do WordPress CMS, comprometeram as redes. Outras vulnerabilidades incluem falta de autenticação em uma rede ou configuração incorreta do servidor. Infelizmente, esses ataques tiveram bastante sucesso nos últimos anos e estão se tornando mais sofisticados e diversificados, causando dores de cabeça para as equipes de segurança cibernética.

Os tipos de ataques de malware Linux

Há muitas maneiras diferentes pelas quais um agente de ameaça pode executar um ataque de malware. Abaixo estão alguns dos tipos mais comuns.

Malware direcionado a imagens de VM

O malware está em constante aprimoramento, encontrando novas vulnerabilidades que são alvo de ataques bem pensados ​​por cibercriminosos habilidosos. Um desses ataques envolve direcionar imagens de máquinas virtuais (VM) usadas para lidar com cargas de trabalho.

Ao fazer isso, os agentes de ameaças podem obter acesso a recursos valiosos hospedados na nuvem, permitindo que causem estragos.

Criptojacking

O criptojacking pode ser muito lucrativo para os cibercriminosos, usando os recursos de TI da vítima para gerar criptomoedas. Mesmo empresas globais como a Tesla foram vítimas de tal ataque.

O malware de criptojacking explora sistemas que carecem de segurança avançada, permitindo que hackers sequestrem sistemas e minerem criptomoedas às custas da vítima.

Ataques Linux sem arquivo

Usando a ferramenta Ezuri de código aberto escrita por Golang, os hackers podem criptografar malware, descriptografá-lo em uma rede violada e não deixar rastros no disco do sistema. Isso permite que o malware ignore o software antivírus.

O grupo cibercriminoso TeamTNT geralmente usa essa técnica. Para grandes organizações, isso pode ter consequências extremas, violando os regulamentos de conformidade. A proteção contra esses ataques pode ajudar muito a garantir a conformidade com o PCI e aderir a outras diretrizes regulatórias.

Explicação de Conformidade PCI
Explica a conformidade com o PCI

Malware patrocinado pelo estado

Grupos de estado-nação estão aumentando seus ataques a ambientes Linux, e isso é particularmente evidente na guerra Rússia-Ucrânia. O principal objetivo desses ataques de malware é interromper as comunicações e destruir dados.

Como os sites do WP estão sendo atacados pelo novo malware do Linux

Uma nova cepa de malware Linux que não era conhecida anteriormente por especialistas em segurança cibernética tem como alvo sites WordPress, ou mais precisamente, mais de vinte plugins e temas.

O fornecedor de segurança russo Doctor Web analisou essa nova ameaça, destacando as possíveis vulnerabilidades. Um representante da Doctor Web afirmou em um relatório recente: “Se os sites usam versões desatualizadas de tais complementos, sem correções cruciais, as páginas da Web visadas são injetadas com JavaScripts maliciosos. Como resultado, quando os usuários clicam em qualquer área de uma página atacada, eles são redirecionados para outros sites.”

Os ataques visam sites específicos com plugins e temas vulneráveis ​​para implantar malware. Isso ajuda a criar uma rede de sites (botnets) aos quais os cibercriminosos têm acesso remoto, permitindo que eles realizem várias atividades. O JavaScript também pode ser injetado em um sistema recuperado por um servidor remoto, redirecionando os usuários que acessam um site violado e os enviando para um site malicioso.

Outra versão backdoor do ataque envolveu um domínio de comando e controle (C2) anteriormente desconhecido, além de visar as mais de 20 falhas do CMS do WordPress.

Em ambos os casos, o invasor usa um método de força bruta para se infiltrar nas contas de administração do WordPress. Doctor Web acrescentou: “Se tal opção for implementada em versões mais recentes do backdoor, os cibercriminosos poderão até mesmo atacar com sucesso alguns desses sites que usam versões atuais de plugins com vulnerabilidades corrigidas”.

Mais de 20 falhas de CMS que foram exploradas

A lista de temas e plugins vulneráveis ​​que o malware do Linux explorou inclui:

  • Designer de blog (< 1.8.12)
  • brilhante
  • Em breve e modo de manutenção (<= 5.1.0)
  • Delucs SEO
  • Fácil WP SMTP (1.3.9)
  • Leitor de vídeo FV Flowplayer
  • Híbrido
  • Bate-papo ao vivo com Messenger Chat do cliente por Zotabox (< 1.4.9)
  • Códigos de acesso ND (<= 5,8)
  • Jornal (CVE-2016-10972, 6.4 – 6.7.1)
  • um tom
  • Criador de enquetes, pesquisas, formulários e questionários da OpinionStage
  • Postar modelos personalizados Lite (< 1,7)
  • Críticas ricas
  • Campos Simples
  • Smart Google Code Inserter (descontinuado em 28 de janeiro de 2022, < 3,5)
  • Rastreador de métricas sociais
  • Thim Core
  • Total de Doações (<= 2.0.5)
  • WooCommerce
  • Perguntas frequentes do WordPress Ultimate (CVE-2019-17232 e CVE-2019-17233, 1.24.2)
  • WPeMatico RSS Feed Fetcher e
  • Conformidade WP GDPR (1.4.2)
  • Bate-papo ao vivo WP (8.0.27)
  • Suporte de bate-papo ao vivo do WP
  • Integração WP-Matomo (WP-Piwik)
  • Gerenciador de reservas rápidas WP
  • Editor de Estilo CSS Visual Lápis Amarelo (< 7.2.0)
  • Postagens relacionadas ao Yuzo (12.5.89)

Ataques anteriores de malware do WordPress

A organização de inteligência e pesquisa de ameaças Fortinet FortiGuard Labs revelou outro botnet (um grupo de dispositivos conectados à Internet violados) conhecido como GoTrim. Essa rede foi criada usando técnicas de força bruta em sites auto-hospedados que usam o WordPress CMS, dando a eles controle total do sistema.

A Sucuri, uma plataforma de segurança e proteção de sites de propriedade da GoDaddy, identificou mais de 15.000 sites WordPress violados no final de 2022. Isso fazia parte de uma campanha geral de malware destinada a redirecionar os visitantes do site para portais de perguntas e respostas controlados por cibercriminosos. Em janeiro de 2023, mais de 9.000 desses sites ainda estavam infectados.

No verão de 2022, a Sucuri também divulgou um relatório que detalhava um sistema de direção de tráfego (TDS) apelidado de '“Parrot” que visava sites WordPress usando malware baseado em JavaScript.

Como prevenir ataques de malware Linux

Para evitar tal ataque, todos os usuários do WordPress são aconselhados a atualizar todos os componentes de seus sites, incluindo plugins e temas de terceiros. Como prática recomendada, os usuários também devem usar senhas fortes e detalhes de login exclusivos para cada usuário para aumentar a segurança.

Os proprietários de sites também devem fazer backups regulares de seus dados, reduzindo a chance de ser vítima de um ataque de ransomware, embora também seja recomendável instalar plug-ins de segurança premium atualizados regularmente.

Empacotando

Esse ataque recém-identificado tem como alvo mais de 20 plugins e temas do WordPress hospedados em um ambiente Linux, permitindo que os cibercriminosos executem malware. Muitos desses ataques envolvem redirecionar os visitantes do site para sites falsos, enquanto outros ajudam os hackers a desenvolver botnets que podem ser usados ​​para uma série de crimes.

Os usuários do WordPress podem impedir esse tipo de ataque mantendo todos os plugins e temas atualizados e usando credenciais de login fortes. A maioria dos sites que foram vítimas de ataques de malware são mal mantidos, têm segurança mínima instalada e usam senhas fracas.