一种新的 Linux 恶意软件正在基于 WordPress 的网站上传播,试图利用几个过时的 WordPress 插件和主题中的 30 个已知漏洞。名为 Linux.BackDoor.WordPressExploit.1 的恶意软件将恶意 JavaScript 注入目标网站。
及时更新的重要性再次凸显。据发现 Linux.BackDoor.WordPressExploit.1 的 Dr.Web 称,木马化的恶意软件试图通过 30 个过时且易受攻击的插件或主题渗透该站点,包括 WooCommerce、WP Live Chat Support Plugin、Google Code Inserter 等(已列出)以下)。
一旦远程控制的木马确认网站使用了任何易受攻击的插件,它就会充当后门,将恶意 JavaScript 推送到从其命令和控制 (C2) 服务器获取的网站中。
“如果一个或多个漏洞被成功利用,目标页面就会被注入从远程服务器下载的恶意JavaScript。这样,注入就会以这样的方式完成:当被感染的页面被加载时,此 JavaScript 将首先触发 — 无论页面的原始内容如何,”Dr. Web 指出。
当用户登陆并单击受感染网站的任何位置时,他们将被重定向到攻击者的选择,在那里他们可能会收到提示他们下载恶意软件的恶意广告,或者可能成为网络钓鱼的目标。
Linux.BackDoor.WordPressExploit.1 的开发具有附加功能,包括切换到待机模式、关闭自身关闭,并暂停记录其操作。该恶意软件旨在针对 32 位版本的 Linux,但它也可以在 64 位版本上运行。
除了 Linux.BackDoor.WordPressExploit。 1、Dr.Web也偶然发现了同一个后门的变种。区别是 Linux.BackDoor.WordPressExploit.2 有一个不同的 C2 服务器地址,一个不同的从中下载恶意 JavaScript 的域地址,并针对 11 个额外的插件。
