一種新的 Linux 惡意軟體正在基於 WordPress 的網站上蔓延,試圖利用幾個過時的 WordPress 插件和主題中的 30 個已知漏洞。被稱為 Linux.BackDoor.WordPressExploit.1 的惡意軟體將惡意 JavaScript 注入目標網站。
及時更新的重要性再次凸顯。據發現 Linux.BackDoor.WordPressExploit.1 的 Dr.Web 稱,木馬化的惡意軟體試圖通過 30 個過時且易受攻擊的插件或主題侵入網站,包括 WooCommerce、WP Live Chat Support Plugin、Google Code Inserter 等(已列出)以下)。
一旦遠程控制的木馬確認網站使用任何易受攻擊的插件,它就會充當後門,將從其命令和控制 (C2) 伺服器獲取的惡意 JavaScript 推送到網站中。
「如果一個或多個漏洞被成功利用,目標頁面就會注入從遠程伺服器下載的惡意 JavaScript。這樣,注入就會以這樣一種方式完成:當受感染的頁面被載入時,這個 JavaScript 將首先啟動——不管頁面的原始內容是什麼,」Web 博士指出。
當用戶登陸並點擊受感染網站的任意位置時,他們將被重定向到攻擊者選擇的網站,在那裡他們可能會收到惡意廣告,提示他們下載惡意軟體,或者可能成為網路釣魚的目標。
Linux.BackDoor.WordPressExploit.1 的開發具有附加功能,包括切換到待機模式、自行關閉以及暫停記錄其操作。該惡意軟體旨在針對 32 位版本的 Linux,但也可以在 64 位版本上運行。
除了 Linux.BackDoor.WordPressExploit.1,Dr. Web 還偶然發現了同一後門的變體。不同之處在於 Linux.BackDoor.WordPressExploit.2 具有不同的 C2 伺服器地址,下載惡意 JavaScript 的不同域地址,並針對 11 個額外的插件。