Noul program malware Linux care exploatează peste 20 de defecte CMS în site-urile WP

Publicat: 2023-02-06

A apărut un nou malware Linux care profită de vulnerabilitățile de securitate din temele WordPress și pluginurile site-urilor web care rulează pe o platformă Linux. Executând Javascript pentru a viza codul sursă al site-ului web, malware-ul poate ajuta infractorii cibernetici să lanseze atacuri DDoS, să acceseze date sensibile și să redirecționeze utilizatorii către site-uri web rău intenționate.

Acest articol va oferi o privire de ansamblu asupra acestui nou malware Linux, discutând cum funcționează, defectele CMS care pot fi exploatate și ce se poate face pentru a preveni un astfel de atac.

Ce este un atac de malware Linux?

Multe dintre mediile cloud de astăzi se bazează pe un sistem de operare Linux. Din această cauză, atacurile cibernetice care vizează direct gazdele web care folosesc Linux sunt în creștere. Prin infiltrarea cu succes într-un mediu Linux, infractorii cibernetici pot accesa o serie de date sensibile, pot executa programe malware și pot provoca daune pe termen lung infrastructurii IT.

S-a găsit un nou program malware Linux
Avertisment de malware Linux

Din 2020, virușii troieni și ransomware-ul au fost cele mai comune forme de atacuri malware bazate pe Linux.

Vulnerabilitățile, cum ar fi cele mai recente defecte CMS WordPress, au compromis rețelele. Alte vulnerabilități includ o lipsă de autentificare pe o rețea sau o configurare greșită a serverului. Din păcate, astfel de atacuri au avut destul de mult succes în ultimii ani și devin din ce în ce mai sofisticate și diverse, provocând bătăi de cap echipelor de securitate cibernetică.

Tipurile de atacuri malware Linux

Există multe moduri diferite în care un actor de amenințări poate executa un atac malware. Mai jos sunt câteva dintre cele mai comune tipuri.

Programe malware care vizează imaginile VM

Programele malware se îmbunătățesc constant, găsind noi vulnerabilități care sunt vizate de atacuri impresionant de gândite ale infractorilor cibernetici calificați. Un astfel de atac implică vizarea imaginilor de mașini virtuale (VM) care sunt utilizate pentru a gestiona sarcinile de lucru.

Procedând astfel, actorii amenințărilor pot obține acces la resurse valoroase găzduite pe cloud, permițându-le să provoace ravagii.

Criptojacking

Cryptojacking poate fi foarte profitabil pentru infractorii cibernetici, folosind resursele IT ale victimei pentru a genera criptomonede. Chiar și companii globale precum Tesla au fost victimele unui astfel de atac.

Programele malware Cryptojacking exploatează sistemele cărora le lipsește securitatea avansată, permițând hackerilor să deturneze sisteme și să mine criptografii în detrimentul victimei.

Atacurile Linux fără fișiere

Folosind instrumentul Ezuri cu sursă deschisă, scris de Golang, hackerii pot cripta malware-ul, îl pot decripta într-o rețea afectată și nu pot lăsa urme pe discul sistemului. Acest lucru permite malware-ului să ocolească software-ul antivirus.

Grupul de criminali cibernetici TeamTNT utilizează în mod obișnuit această tehnică. Pentru organizațiile mari, acest lucru poate avea consecințe extreme, încălcând reglementările de conformitate. Protecția împotriva unor astfel de atacuri poate contribui în mare măsură în asigurarea conformității PCI și a aderării la alte linii directoare de reglementare.

Explicația conformității PCI
Explică conformitatea PCI

Malware sponsorizat de stat

Grupurile de stat-națiune își intensifică atacurile asupra mediilor Linux, iar acest lucru este evident în special în războiul Rusia-Ucraina. Scopul principal al acestor atacuri malware este de a întrerupe comunicațiile și de a distruge datele.

Cum site-urile WP sunt vizate de noile programe malware Linux

O nouă tulpină de malware Linux care nu era cunoscută anterior de experții în securitate cibernetică a vizat site-urile WordPress sau, mai precis, peste douăzeci de plugin-uri și teme.

Furnizorul rus de securitate Doctor Web a analizat această nouă amenințare, evidențiind potențialele vulnerabilități. Un reprezentant de la Doctor Web a declarat într-un raport recent: „Dacă site-urile folosesc versiuni învechite ale unor astfel de suplimente, fără remedieri cruciale, paginile web vizate sunt injectate cu JavaScript rău intenționați. Ca urmare, atunci când utilizatorii dau clic pe orice zonă a unei pagini atacate, ei sunt redirecționați către alte site-uri.”

Atacurile vizează anumite site-uri web cu plugin-uri și teme vulnerabile pentru a implementa programe malware. Acest lucru ajută la crearea unei rețele de site-uri web (botnet) la care infractorii cibernetici au acces de la distanță, permițându-le să desfășoare diverse activități. JavaScript poate fi, de asemenea, injectat într-un sistem preluat de un server la distanță, redirecționând utilizatorii care accesează un site web încălcat și trimițându-i către un site web rău intenționat.

O altă versiune backdoor a atacului a implicat un domeniu de comandă și control (C2) necunoscut anterior, în plus față de vizarea celor peste 20 de defecte CMS WordPress.

În ambele cazuri, atacatorul folosește o metodă de forță brută pentru a se infiltra în conturile de administrator WordPress. Doctor Web a adăugat: „Dacă o astfel de opțiune este implementată în versiuni mai noi ale ușii din spate, infractorii cibernetici vor putea chiar să atace cu succes unele dintre acele site-uri web care utilizează versiuni actuale de plugin cu vulnerabilități corectate.”

Peste 20 de defecte CMS care au fost exploatate

Lista temelor și pluginurilor vulnerabile pe care le-a exploatat malware-ul Linux include:

  • Blog Designer (< 1.8.12)
  • Brizy
  • În curând și modul întreținere (<= 5.1.0)
  • Delucks SEO
  • Ușor WP SMTP (1.3.9)
  • Player video FV Flowplayer
  • Hibrid
  • Chat live cu Messenger Customer Chat de Zotabox (< 1.4.9)
  • Coduri scurte ND (<= 5,8)
  • Ziar (CVE-2016-10972, 6.4 – 6.7.1)
  • Un ton
  • Sondaj, sondaje, formulare și chestionare de la OpinionStage
  • Postați șabloane personalizate Lite (< 1,7)
  • Recenzii bogate
  • Câmpuri simple
  • Smart Google Code Inserter (încetat din 28 ianuarie 2022, < 3,5)
  • Instrumentul de urmărire a valorilor sociale
  • Thim Core
  • Total donații (<= 2,0,5)
  • WooCommerce
  • Întrebări frecvente WordPress Ultimate (CVE-2019-17232 și CVE-2019-17233, 1.24.2)
  • WPeMatico RSS Fetcher și
  • Conformitate WP GDPR (1.4.2)
  • WP Live Chat (8.0.27)
  • Asistență WP Live Chat
  • Integrare WP-Matomo (WP-Piwik)
  • WP Quick Booking Manager
  • Yellow Pencil Visual CSS Style Editor (< 7.2.0)
  • Postări legate de Yuzo (5.12.89)

Atacurile anterioare de programe malware WordPress

Organizația de cercetare și informații privind amenințările Fortinet FortiGuard Labs a dezvăluit un alt botnet (un grup de dispozitive conectate la internet) cunoscut sub numele de GoTrim. Această rețea a fost creată folosind tehnici de forță brută pe site-uri web auto-găzduite care folosesc WordPress CMS, oferindu-le control deplin asupra sistemului.

Sucuri, o platformă de securitate și protecție a site-urilor web deținută de GoDaddy, a identificat peste 15.000 de site-uri web WordPress încălcate la sfârșitul anului 2022. Aceasta a făcut parte dintr-o campanie generală de malware care vizează redirecționarea vizitatorilor site-ului către portaluri de întrebări și răspunsuri controlate de infractorii cibernetici. În ianuarie 2023, peste 9.000 dintre aceste site-uri web erau încă infectate.

În vara anului 2022, Sucuri a lansat, de asemenea, un raport care detalia un sistem de direcție a traficului (TDS) denumit „Papagal” care viza site-urile WordPress folosind malware bazat pe JavaScript.

Cum să preveniți atacurile malware Linux

Pentru a preveni un astfel de atac, toți utilizatorii WordPress sunt sfătuiți să actualizeze toate componentele site-urilor lor web, inclusiv orice pluginuri și teme terțe. Ca cea mai bună practică, utilizatorii ar trebui să folosească, de asemenea, parole puternice și detalii de conectare unice pentru fiecare utilizator, pentru a crește securitatea.

Proprietarii de site-uri web ar trebui, de asemenea, să facă copii de rezervă regulate ale datelor lor, reducând șansa de a fi victima unui atac de tip ransomware, în timp ce se recomandă, de asemenea, să instaleze pluginuri de securitate premium actualizate regulat.

Încheierea

Acest atac nou identificat vizează peste 20 de pluginuri și teme WordPress găzduite într-un mediu Linux, permițând infractorilor cibernetici să execute programe malware. Multe dintre aceste atacuri implică redirecționarea vizitatorilor site-urilor către site-uri false, în timp ce altele îi ajută pe hackeri să dezvolte botnet-uri care pot fi folosite pentru o serie de infracțiuni.

Utilizatorii WordPress pot preveni un astfel de atac menținând toate pluginurile și temele actualizate și folosind acreditări puternice de conectare. Majoritatea site-urilor web care au căzut victime ale atacurilor malware sunt prost întreținute, au o securitate minimă instalată și folosesc parole slabe.