专注于威胁检测和预防的安全公司 Doctor Web 的安全研究人员发现了一个恶意 Linux 程序,该程序针对运行过时且易受攻击的插件和主题的 WordPress 网站。
该恶意软件针对 32 位版本的 Linux,但它也能够在 64 位版本上运行。它利用 30 个主题和插件漏洞将恶意 JavaScript 注入网站,将访问者重定向到攻击者选择的网站。
报告指出,Doctor Webs 对该应用程序的分析表明,“它可能是网络犯罪分子三年多来一直用来实施此类攻击并通过转售流量或套利获利的恶意工具。” 在此期间,该工具已更新以针对更多可利用的漏洞。
该恶意软件有两个版本——Linux.BackDoor.WordPressExploit.1和Linux.BackDoor.WordPressExploit.2。版本 1 试图利用流行插件中的漏洞,如 WP GDPR Compliance、Easysmtp、WP Live Chat 以及其他十几个免费和商业扩展。众所周知,其中一些经常存在漏洞,其中一个因违反准则而被关闭,但在某些站点上可能仍处于活动状态。
更新后的版本 2 具有用于分发恶意 JavaScript 的不同服务器地址,以及针对一些使用更广泛的插件(包括 FV Flowplayer Video Player、Brizy Page Builder、WooCommerce 等)的附加漏洞列表。
Doctor Web 的报告还推测,攻击者可能已经设计了一个长期的游戏计划,即使在用户更新到受感染插件的较新(修补)版本后,也能为他们提供管理访问权限:
已发现这两种木马变体都包含未实现的功能,用于通过暴力攻击攻击目标网站的管理员帐户——通过应用已知的登录名和密码,使用特殊词汇。此功能可能存在于较早的修改中,或者相反,攻击者计划将其用于此恶意软件的未来版本。如果在较新版本的后门中实施此类选项,网络犯罪分子甚至可以成功攻击一些使用当前插件版本并修补漏洞的网站。
Doctor Web 发布了一份文档,其中包含妥协指标,详细说明了 Linux 后门恶意软件用来感染 WordPress 网站的哈希值、IP 和域。
