これまで知られていなかった Linux マルウェアが、複数の古い WordPress プラグインとテーマの 30 の脆弱性を悪用して、悪意のある JavaScript を挿入しています。
ウイルス対策ベンダーDr. Webのレポートによると、このマルウェアは 32 ビットと 64 ビットの両方の Linux システムを標的にしており、オペレーターにリモート コマンド機能を提供しています。
このトロイの木馬の主な機能は、ハードコードされたエクスプロイトのセットを使用して WordPress サイトをハッキングすることです。これらのエクスプロイトは、そのうちの 1 つが機能するまで連続して実行されます。
対象となるプラグインとテーマは次のとおりです。
- WP ライブチャット サポート プラグイン
- WordPress – Yuzo関連記事
- Yellow Pencil ビジュアル テーマ カスタマイザー プラグイン
- Easysmtp
- WP GDPR コンプライアンス プラグイン
- WordPress のアクセス制御に関する新聞のテーマ (CVE-2016-10972)
- ティム・コア
- Google コード インサータ
- 総寄付プラグイン
- カスタム テンプレート ライトの投稿
- WP クイック予約マネージャー
- Zotabox による Faceboor ライブ チャット
- ブログ デザイナー WordPress プラグイン
- WordPress Ultimate FAQ (CVE-2019-17232 および CVE-2019-17233)
- WP-Piwik 統合 (WP-Piwik)
- Visual Composer の WordPress ND ショートコード
- WPライブチャット
- 近日公開ページとメンテナンスモード
- ハイブリッド
標的の Web サイトが上記のいずれかの古い脆弱なバージョンを実行している場合、マルウェアはコマンド アンド コントロール (C2) サーバーから悪意のある JavaScript を自動的に取得し、そのスクリプトを Web サイトに挿入します。
感染したページは、攻撃者が選択した場所へのリダイレクターとして機能するため、このスキームは放棄されたサイトで最適に機能します。
これらのリダイレクトは、検出とブロックを回避するために、フィッシング、マルウェア配布、およびマルバタイジング キャンペーンで使用される可能性があります。とはいえ、オートインジェクターのオペレーターは、他のサイバー犯罪者にサービスを販売している可能性があります。
Dr. Web が実際に確認したペイロードの更新バージョンは、次の WordPress アドオンも標的にしています。
- Brizy WordPress プラグイン
- FV Flowplayer ビデオ プレーヤー
- ウーコマース
- WordPress 近日公開ページ
- ワードプレスのテーマ ワントーン
- シンプル フィールド WordPress プラグイン
- WordPress Delucks SEO プラグイン
- OpinionStage による投票、アンケート、フォーム、およびクイズ メーカー
- ソーシャルメトリクストラッカー
- WPeMatico RSS フィード フェッチャー
- リッチ レビュー プラグイン
新しい亜種が標的とする新しいアドオンは、バックドアの開発が現在活発であることを示しています。
Dr. Web はまた、両方の亜種には現在非アクティブな機能が含まれており、Web サイトの管理者アカウントに対するブルート フォース攻撃を可能にする可能性があると述べています。
この脅威を防御するには、WordPress Web サイトの管理者が、サイトで実行されているテーマとプラグインを利用可能な最新バージョンに更新し、開発されなくなったものをサポートされている代替物に置き換える必要があります。
強力なパスワードを使用し、2 要素認証メカニズムを有効にすると、ブルート フォース攻撃に対する保護が確保されます。
Comments