Рубрикатор |
Все новости | Новости отрасли |
Linux-бэкдор взламывает сайты под управлением WordPress
30 декабря 2022 |
Компания «Доктор Веб» выявила вредоносную программу для ОС Linux, котораявзламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы.
Если на сайтах используются устаревшие версии таких плагинов без необходимых исправлений, в целевые веб-страницы внедряются вредоносные JavaScript-скрипты. После этого при клике мышью в любом месте атакованной страницы пользователи перенаправляются на другие ресурсы.
Киберпреступники на протяжении многих лет атакуют сайты на базе WordPress. Эксперты поинформационной безопасности наблюдают за случаями, когда для взлома интернет-ресурсов и внедрения в них вредоносных скриптов применяются различные уязвимости платформы и ее компонентов. Проведенный специалистами «Доктор Веб» анализ обнаруженной троянской программы показал, что она может быть тем вредоносным инструментом, с помощью которого злоумышленники более 3 лет совершали подобные атаки и зарабатывали на перепродаже трафика — арбитраже.
Вредоносная программа, получившая по классификации Dr.Webимя Linux.BackDoor.WordPressExploit.1, предназначена для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Linux.BackDoor.WordPressExploit.1 — это бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:
- атаковать заданную веб-страницу (сайт);
- переходить в режим ожидания;
- завершать свою работу;
- останавливать ведение журнала выполненных действий.
Основной функцией трояна является взлом веб-сайтов на базе системы управления контентом WordPress и внедрение вредоносного скрипта в их веб-страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед атакой троян связывается с управляющим сервером и получает от него адрес веб-ресурса, который требуется взломать. Затем Linux.BackDoor.WordPressExploit.1 по очереди пытается эксплуатировать уязвимости в устаревших версиях 19 плагинов и тем, которые могут быть установлены на сайте.
В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжектирование происходит таким образом, что при загрузке зараженной страницы данный JavaScript будет инициирован самым первым, — независимо от того, какое содержимое было на странице ранее. В дальнейшем при клике мышью в любом месте зараженной страницы пользователи будут перенаправлены на нужный злоумышленникам сайт.
Троянская программа ведет статистику своей работы: она отслеживает общее число атакованных сайтов, все случаи успешного применения эксплойтов. Кроме того, он информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.
Вместе с текущей модификацией этой троянской программы специалисты "Доктор Веб" также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для ряда плагинов.
При этом в обоих вариантах трояна была обнаружена нереализованная функциональность для взлома учетных записей администраторов атакуемых веб-сайтов методом грубой силы (брутфорс) — подбором логинов и паролей по имеющимся словарям. Можно предположить, что данная функция присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий вредоносного приложения. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.
Источник: Доктор Веб
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Читайте также:
Обнаружены целевые атаки на российские компании, занимающиеся автоматизацией бизнеса
Российские компании атакует новый шпионский троянец
Бэкдор три года распространялся под видом легитимного установщика ПО для Linux
Троян-загрузчик осуществляет многоступенчатое заражение Windows-компьютеров
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.