Malware para Linux invade sites usando 30 falhas em plugins e temas do Wordpress

Mais de 30 bugs ou falhas de segurança em plugins e temas do Wordpress são a porta de entrada de um novo malware, que mira servidores e sistemas rodando na plataforma Linux. A praga realiza tentativas sucessivas de intrusão contra os domínios, utilizando as vulnerabilidades, até encontrar uma que funcione, implantando códigos maliciosos para redirecionar usuários a domínios perigosos, que continuem a cadeia de contaminação.

• Wordpress | 29% das falhas críticas em plugins não são corrigidas
• WordPress força atualização de sites que utilizam plugin com falha crítica

O objetivo final é obter controle das plataformas remotamente para a realização de golpes de phishing, entrega de novos vírus ou obtenção de dados. O método, entretanto, é mais generalizado, com servidores Linux de 32 e 64 bits na mira, com os sites sendo submetidos de forma sucessiva a testes envolvendo as extensões comprometidas, até que uma seja encontrada e explorada de forma automática.

Os plugins são dos mais diferentes tipos e vão desde assistentes de atendimento para chats em redes sociais até a customização de elementos visuais, doações, integrações e modos de manutenção. Confira a lista:

• WP Live Chat Support Plugin
• WordPress – Yuzo Related Posts
• Yellow Pencil Visual Theme Customizer Plugin
• Easysmtp
• WP GDPR Compliance Plugin
• Newspaper Theme on WordPress Access Control
• Thim Core
• Google Code Inserter
• Total Donations Plugin
• Post Custom Templates Lite
• WP Quick Booking Manager
• Facebook Live Chat by Zotabox
• Blog Designer WordPress Plugin
• WordPress Ultimate FAQ
• WP-Matomo Integration (WP-Piwik)
• WordPress ND Shortcodes For Visual Composer
• WP Live Chat
• Coming Soon Page and Maintenance Mode
• Hybrid
• Brizy WordPress Plugin
• FV Flowplayer Video Player
• WooCommerce
• WordPress Coming Soon Page
• WordPress theme OneTone
• Simple Fields WordPress Plugin
• WordPress Delucks SEO plugin
• Poll, Survey, Form & Quiz Maker by OpinionStage
• Social Metrics Tracker
• WPeMatico RSS Feed Fetcher
• Rich Reviews plugin

De acordo com relatório da Dr. Web, empresa de cibersegurança responsável pela revelação da praga, se trata de um malware em constante desenvolvimento. Quando a análise por seus especialistas começou, eram 19 alvos, com o total aumentando para 30 em uma atualização posterior e indicando que mais podem estar a caminho. Além disso, a busca massiva por comprometimentos para diferentes fins também pode indicar uma operação de intrusão como serviço, com o acesso sendo vendido a terceiros para a realização de ataques.

A praga também possui recursos que se encontram desativados, como tentativas de intrusão a painéis de administradores dos sites por meio de força bruta. Na soma de todos estes fatores, sites abandonados ou sem manutenção acabam sendo o alvo preferido, tanto pela presença de extensões desatualizadas ou que não recebem mais suporte de seus desenvolvedores quanto pela falta de elementos mais avançados de proteção e segurança.

A recomendação, então, é justamente pela atualização. Os plugins listados, principalmente, devem estar rodando em suas versões mais recentes, que já não possuem a abertura usada, ou substituídos por outros caso não recebam mais patches de segurança. Além disso, os administradores devem usar autenticação em duas etapas para acesso a painéis e monitorar acessos aos sistemas de controle e também servidores, de forma a detectar situações suspeitas.

Fonte: Dr. Web