Se ha detectado una nueva variante de malware dirigida a sitios web de WordPress con complementos vulnerables instalados.
el malware (se abre en una pestaña nueva) permite a los actores de amenazas redirigir a los visitantes a un sitio web de su elección, siempre que hagan clic en cualquier parte del sitio.
Descubierto por investigadores de Dr.Web, el malware se llama Linux.BackDoor.WordPressExploit.1 y se describe como un troyano dirigido a versiones de Linux de 32 bits, que también puede ejecutarse en versiones de 64 bits.
Más versiones
El troyano funciona inyectando JavaScript malicioso en sitios web vulnerables. Lo hace explotando vulnerabilidades conocidas en una serie de complementos defectuosos, como WP Live Chat Support Plugin, WP Live Chat, Google Code Inserter y WP Quick Booking Manager.
Los investigadores sospechan que el malware podría haber estado activo durante tres años, vendiendo tráfico o participando en el arbitraje.
“La inyección se realiza de tal manera que cuando se carga la página infectada, este JavaScript se iniciará primero, independientemente del contenido original de la página”, dijeron los investigadores.
Posteriormente también se descubrió una versión actualizada que, además de tener un servidor de comando y control (C2) diferente, también explotaba fallas en complementos adicionales, como Brizy WordPress Plugin, FV Flowplayer Video Player y WordPress Coming Soon Page.
El informe también indicó que ambas versiones venían con características adicionales que aún no se han activado, incluida una que permitía a los actores de amenazas apuntar a las cuentas de administrador a través de ataques de fuerza bruta. Por lo tanto, es muy probable que los atacantes planearan versiones adicionales del troyano y funciones adicionales para arrancar.
“Si dicha opción se implementa en las versiones más nuevas de la puerta trasera, los ciberdelincuentes incluso podrán atacar con éxito algunos de esos sitios web que usan versiones actuales de complementos con vulnerabilidades parcheadas”, agrega el informe.
Para mantener sus sitios web seguros, los webmasters deben asegurarse de que su plataforma de WordPress, así como los complementos instalados, estén actualizados. Además, también deben estar atentos a las noticias sobre las actualizaciones instaladas, especialmente para aquellas que se pueden descargar gratis.
Vía: Revista Infoseguridad (se abre en una pestaña nueva)