Een nieuw geïdentificeerd Trojaans achterdeurprogramma maakt gebruik van zo'n 30 kwetsbaarheden in WordPress-plug-ins en -thema's om websites te doorbreken die zijn gebaseerd op het WordPress-inhoudsbeheersysteem. Het hoeft maar één van die fouten te misbruiken om een ​​aanval uit te voeren.

Onderzoekers van Doctor Web die twee iteraties van de malware ontdekten - nagesynchroniseerd Linux.BackDoor.WordPressExploit.1 en Linux.BackDoor.WordPressExploit.2 - zei dat sites met verouderde of niet-gepatchte versies van deze WordPress-tools het risico lopen kwaadaardige JavaScripts te bevatten die sitebezoekers omleiden naar snode websites, en zouden die programma's zo snel mogelijk moeten updaten.

En hier is een enge wending: “Een analyse van een onopgeloste trojan-applicatie, uitgevoerd door de specialisten van Doctor Web, onthulde dat dit de kwaadaardige tool zou kunnen zijn die cybercriminelen al meer dan drie jaar gebruiken om dergelijke aanvallen uit te voeren en geld te verdienen met de doorverkoop van verkeer. , of arbitrage”, aldus de onderzoekers schreef over de malware, dat gericht is op 32-bits versies van Linux en ook kan draaien op 64-bits versies van het platform.

Onder de plug-ins en thema's die door de trojan versie 1 worden misbruikt, zijn WP Live Chat Support Plugin; Plug-in voor het aanpassen van visuele thema's met geel potlood; Easysmtp; WP GDPR-compliance-plug-in; Google Code-invoeger; Blog Designer WordPress-plug-in; en WP Live Chat. Versie 2 maakt gebruik van andere WordPress-plug-ins, waaronder de Brizy WordPress-plug-in; FV Flowplayer-videospeler; WordPress komt binnenkort pagina; Enquête-, enquête-, formulier- en quizmaker door OpinionStage; en Tracker voor sociale statistieken.

WordPress-plug-ins en -thema's zijn een populaire manier voor cybercriminelen die websites willen overnemen; ze kunnen voor alles worden gebruikt, van phishing tot advertentiefraude tot verspreiding van malware. Kwetsbaarheden zijn niet ongewoon. Zo werd in december een SSRF-kwetsbaarheid in de Google Web Stories-plug-in werd gevonden waarmee een cyberaanvaller metadata kan verzamelen van WordPress-sites die op een AWS-server worden gehost, en zich mogelijk kan aanmelden bij een cloudinstantie om opdrachten uit te voeren.