New Linux malware uses 30 plugin exploits to backdoor WordPress sites

これまで知られていなかった Linux マルウェアが、複数の古い WordPress プラグインとテーマの 30 の脆弱性を悪用して、悪意のある JavaScript を挿入しています。

ウイルス対策ベンダーDr. Webのレポートによると、このマルウェアは 32 ビットと 64 ビットの両方の Linux システムを標的にしており、オペレーターにリモート コマンド機能を提供しています。

このトロイの木馬の主な機能は、ハードコードされたエクスプロイトのセットを使用して WordPress サイトをハッキングすることです。これらのエクスプロイトは、そのうちの 1 つが機能するまで連続して実行されます。

対象となるプラグインとテーマは次のとおりです。

  • WP ライブチャット サポート プラグイン
  • WordPress – Yuzo関連記事
  • Yellow Pencil ビジュアル テーマ カスタマイザー プラグイン
  • Easysmtp
  • WP GDPR コンプライアンス プラグイン
  • WordPress のアクセス制御に関する新聞のテーマ (CVE-2016-10972)
  • ティム・コア
  • Google コード インサータ
  • 総寄付プラグイン
  • カスタム テンプレート ライトの投稿
  • WP クイック予約マネージャー
  • Zotabox による Faceboor ライブ チャット
  • ブログ デザイナー WordPress プラグイン
  • WordPress Ultimate FAQ (CVE-2019-17232 および CVE-2019-17233)
  • WP-Piwik 統合 (WP-Piwik)
  • Visual Composer の WordPress ND ショートコード
  • WPライブチャット
  • 近日公開ページとメンテナンスモード
  • ハイブリッド

標的の Web サイトが上記のいずれかの古い脆弱なバージョンを実行している場合、マルウェアはコマンド アンド コントロール (C2) サーバーから悪意のある JavaScript を自動的に取得し、そのスクリプトを Web サイトに挿入します。

挿入されたリダイレクト コード
注入されたリダイレクト コード(Dr. Web)

感染したページは、攻撃者が選択した場所へのリダイレクターとして機能するため、このスキームは放棄されたサイトで最適に機能します。

これらのリダイレクトは、検出とブロックを回避するために、フィッシング、マルウェア配布、およびマルバタイジング キャンペーンで使用される可能性があります。とはいえ、オートインジェクターのオペレーターは、他のサイバー犯罪者にサービスを販売している可能性があります。

Dr. Web が実際に確認したペイロードの更新バージョンは、次の WordPress アドオンも標的にしています。

  • Brizy WordPress プラグイン
  • FV Flowplayer ビデオ プレーヤー
  • ウーコマース
  • WordPress 近日公開ページ
  • ワードプレスのテーマ ワントーン
  • シンプル フィールド WordPress プラグイン
  • WordPress Delucks SEO プラグイン
  • OpinionStage による投票、アンケート、フォーム、およびクイズ メーカー
  • ソーシャルメトリクストラッカー
  • WPeMatico RSS フィード フェッチャー
  • リッチ レビュー プラグイン

新しい亜種が標的とする新しいアドオンは、バックドアの開発が現在活発であることを示しています。

Dr. Web はまた、両方の亜種には現在非アクティブな機能が含まれており、Web サイトの管理者アカウントに対するブルート フォース攻撃を可能にする可能性があると述べています。

この脅威を防御するには、WordPress Web サイトの管理者が、サイトで実行されているテーマとプラグインを利用可能な最新バージョンに更新し、開発されなくなったものをサポートされている代替物に置き換える必要があります。

強力なパスワードを使用し、2 要素認証メカニズムを有効にすると、ブルート フォース攻撃に対する保護が確保されます。