Pesquisadores da Dr.Web descreveram um vírus, descoberto recentemente, que estaria infectando sites WordPress há mais de três anos. Os atacantes se aproveitam de vulnerabilidades de plugins desatualizados para injetar códigos maliciosos que prejudicam os usuários e o dono do site.
O malware é denominado Linux.BackDoor.WordPressExploit.1, de acordo com a classificação do DR.Web, e tem como alvo versões 32 bits do Linux, mas também é capaz de atingir servidores com sistemas Linux 64 bits. Ele é um backdoor controlado remotamente cuja principal funcionalidade é hackear sites baseados em WordPress CMS e injetar códigos, utilizando vulnerabilidades de plugins e temas.
Modo de ação
O Linux.BackDoor.WordPressExploit.1 contata o servidor do site que será atacado e busca as vulnerabilidades que estão presentes em versões obsoletas dos seguintes plugins e temas:
- WP Live Chat Support Plugin;
- WordPress – Yuzo Related Posts;
- Yellow Pencil Visual Theme Customizer Plugin;
- Easysmtp;
- WP GDPR Compliance Plugin;
- Newspaper Theme on WordPress Access Control (vulnerabilidade CVE-2016-10972);
- Thim Core;
- Google Code Inserter;
- Total Donations Plugin;
- Post Custom Templates Lite;
- WP Quick Booking Manager;
- Faceboor Live Chat by Zotabox;
- Blog Designer WordPress Plugin;
- WordPress Ultimate FAQ (vulnerabilidades CVE-2019-17232 e CVE-2019-17233);
- WP-Matomo Integration (WP-Piwik);
- WordPress ND Shortcodes For Visual Composer;
- WP Live Chat;
- Coming Soon Page and Maintenance Mode;
- Hybrid.
Se uma ou mais vulnerabilidades são encontradas, ele consegue entrar e injetar o código malicioso, um JavaScript que passará a ser carregado antes da página e onde o usuário clicar, redirecionará para algum site dos atacantes.
Código-fonte de uma página infectada. Fonte: Dr.Web
O vírus também coleta estatísticas durante seu trabalho, dando ao cibercriminoso o conforto de saber quantos sites invadiu, quantas invasões estão em andamento, quais brechas estão sendo exploradas e se o servidor de algum site atacado detectou o problema. Sendo assim, o vírus tem a plasticidade de detectar todas as brechas, utilizar apenas o necessário e reservar as demais para o caso de ser descoberto.
Já foi encontrada uma versão atualizada, denominada Linux.BackDoor.WordPressExploit.2, que busca o código-fonte malicioso que será injetado, em outro servidor, e é capaz de explorar vulnerabilidades de ainda mais plugins:
- Brizy WordPress Plugin;
- FV Flowplayer Video Player;
- WooCommerce;
- WordPress Coming Soon Page;
- WordPress theme OneTone;
- Simple Fields WordPress Plugin;
- WordPress Delucks SEO plugin;
- Poll, Survey, Form & Quiz Maker by OpinionStage;
- Social Metrics Tracker;
- WPeMatico RSS Feed Fetcher;
- Rich Reviews plugin.
Ambas as versões possuem variantes com uma funcionalidade não completamente implementada para hackear a conta de administrador através de força bruta. Entretanto, mesmo que ainda não tenham descoberto variantes com esta função ativa, elas podem já existir.
O que devemos fazer?
Quem desenvolve e mantém um site deve ficar atento às boas práticas de segurança e basicamente são 6 passos simples a serem seguidos para deixar seu site WordPress seguro. Usuários, fiquem atentos, evitem sites com redirecionamentos automáticos e utilizem ferramentas de segurança, como antivírus e firewall, sempre atualizados.