خبر

بدافزار جدید لینوکس از 30 اکسپلویت پلاگین برای backdoor سایت های وردپرس استفاده می‌کند.

یک بدافزار لینوکس که قبلا ناشناخته بود، از 30 آسیب پذیری در چندین افزونه (پلاگین) و تم های قدیمی وردپرس برای تزریق کد جاوا اسکریپت مخرب سوء استفاده کرده است.

بدافزار جدید لینوکس از 30 اکسپلویت پلاگین برای backdoor سایت های وردپرس استفاده می‌کند.

یک بدافزار لینوکس که قبلا ناشناخته بود، از 30 آسیب پذیری در چندین افزونه (پلاگین) و تم های قدیمی وردپرس برای تزریق کد جاوا اسکریپت مخرب سوء استفاده کرده است.

طبق گزارش فروشنده آنتی ویروس  Dr. Web ، این بدافزار سیستم های لینوکس 32 بیتی و 64 بیتی را هدف و به اپراتور خود قابلیت فرمان از راه دور را می‌دهد.

 عملکرد اصلی تروجان هک کردن سایت های وردپرس با استفاده از مجموعه ای از اکسپلویت‌های کدگذاری شده است که به صورت متوالی اجرا می‌شوند، تا زمانی که یکی از آنها کار کند.

پلاگین ها و تم های مورد هدف به شرح زیر است:

WP Live Chat Support Plugin

WordPress – Yuzo Related Posts

Yellow Pencil Visual Theme Customizer Plugin

Easysmtp

WP GDPR Compliance Plugin

Newspaper Theme on WordPress Access Control (CVE-2016-10972)

Thim Core

Google Code Inserter

Total Donations Plugin

Post Custom Templates Lite

WP Quick Booking Manager

Faceboor Live Chat by Zotabox

Blog Designer WordPress Plugin

WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)

WP-Matomo Integration (WP-Piwik)

WordPress ND Shortcodes For Visual Composer

WP Live Chat

Coming Soon Page and Maintenance Mode

Hybrid

 

اگر وب سایت مورد نظر یک نسخه قدیمی و آسیب پذیر از هر یک از موارد بالا را اجرا کند، بدافزار به طور خودکار جاوا اسکریپت مخرب را از سرور فرمان و کنترل خود (C2) دریافت می کند و اسکریپت را به سایت تزریق می کند.

 

 

صفحاتی که کد در آنها تزریق شده به عنوان یک هدایت کننده به مکانی که هکر می‌خواهد عمل می‌کنند، در نتیجه این فرایند در سایت هایی که متروکه هستند بهترین عملکرد را دارد.

این تغییر مسیرها ممکن است در کمپین‌های فیشینگ، توزیع بدافزار، و موارد دیگر  برای کمک به فرار از شناسایی و مسدود شدن فرد مهاجم استفاده شود. با این حال، اپراتورهای تزریق خودکار کد ممکن است خدمات خود را به مجرمان سایبری دیگر بفروشند.

 

طی آپدیت جدیدی که  Dr. Web از payload  ها منتشر کرد ، افزونه های زیر نیز مورد هدف واقع شده است:

WP Live Chat Support Plugin

WordPress – Yuzo Related Posts

Yellow Pencil Visual Theme Customizer Plugin

Easysmtp

WP GDPR Compliance Plugin

Newspaper Theme on WordPress Access Control (CVE-2016-10972)

Thim Core

Google Code Inserter

Total Donations Plugin

Post Custom Templates Lite

WP Quick Booking Manager

Faceboor Live Chat by Zotabox

Blog Designer WordPress Plugin

WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)

WP-Matomo Integration (WP-Piwik)

WordPress ND Shortcodes For Visual Composer

WP Live Chat

Coming Soon Page and Maintenance Mode

Hybrid

 

افزونه های جدید که مورد هدف قرار گرفتند نشانگر این است که توسعه backdoor ها شروع شده است.

 همچنین اشاره می‌کند که هر دو نوع افزونه‌هایی که بالا به آن اشاره شده دارای عملکردی هستند که Dr.Web

.که در حال حاضر غیرفعال است که امکان حملات بی رحمانه علیه حساب‌های مدیر وب سایت را فراهم می‌کند  

 برای دفاع در برابر این تهدید، مدیران وب‌سایت‌های وردپرس باید تم‌ها و افزونه‌های در حال اجرا در سایت را به آخرین نسخه موجود به‌روزرسانی کنند و آن‌هایی را که دیگر توسعه نمی‌یابند با جایگزین‌هایی که پشتیبانی می‌شوند جایگزین کنند

استفاده از رمزهای عبور قوی و فعال کردن مکانیسم احراز هویت دو مرحله ای می‌بایست از محافظت در برابر حملات brute-force اطمینان حاصل کند.

 

منبع :Bleepingcomputer.com
مدیر سایت
تهیه کننده:

مدیر سایت