Malware Linux baru menargetkan situs WordPress dengan mengeksploitasi 30 bug

idNSA.id - Malware Linux baru telah mengeksploitasi 30 kerentanan di plugin dan tema WordPress yang sudah ketinggalan zaman untuk menerapkan JavaScript berbahaya.

Peneliti Doctor Web menemukan malware Linux, dilacak sebagai  Linux.BackDoor.WordPressExploit.1, yang mengkompromikan situs web WordPress dengan mengeksploitasi 30 kerentanan di beberapa plugin dan tema usang.

Malware menyuntikkan JavaScript berbahaya ke halaman web yang ditargetkan, lalu saat pengguna mengklik halaman yang disusupi, mereka dialihkan ke situs lain di bawah kendali penyerang.

Malware menargetkan Linux versi 32-bit dan 64-bit, mendukung kemampuan backdoor dan memungkinkannya menyerang halaman web tertentu (situs web), beralih ke mode siaga, mematikan dirinya sendiri, dan menjeda pencatatan tindakannya.

Sebelum menyerang situs web, malware menghubungi server C&C dan menerima alamat situs untuk diinfeksi. Kemudian, Linux.BackDoor.WordPressExploit.1  mencoba mengeksploitasi kerentanan pada plugin dan tema berikut jika dipasang di situs web target:

WP Live chat Support Login, WordPress – Yuzo related post, Yellow pencil visual Theme Customizer Plugin, Easysmtp, WP GDPR Compliance Plugin, Newspaper Theme on WordPress Access Control (kerentanan CVE-2016-10972), Thim core, Google code inserter, Total donations Plugin, Posting Template Kustom Lite, WP Quick Booking Manager, Facebook Live Chat by Zotabox, Blog Designer WordPress Plugin, WP-Matomo Integration (WP-Piwik), WordPress ND Shortcodes For Visual Composer, WP Live Chat, Coming Soon Page and Maintenance Mode, Hybrid.

“Jika satu atau lebih kerentanan berhasil dieksploitasi, halaman target disuntikkan dengan JavaScript berbahaya yang diunduh dari server jauh. Dengan itu, injeksi dilakukan sedemikian rupa sehingga ketika halaman yang terinfeksi dimuat, JavaScript ini akan dimulai terlebih dahulu—terlepas dari konten asli halaman tersebut.” membaca penasehat yang diterbitkan oleh Dr. Web. “Pada titik ini, setiap kali pengguna mengklik di mana saja pada halaman yang terinfeksi, mereka akan dipindahkan ke situs web yang perlu dikunjungi oleh penyerang.”

Pengunjung halaman yang disusupi dialihkan ke situs berbahaya yang digunakan untuk mendistribusikan malware dan menampilkan halaman phishing. Para peneliti juga melihat versi yang lebih baru dari malware yang mengeksploitasi kerentanan di plugin WordPress berikut: Brizy WordPress Plugin, FV Flowplayer Video Player, WooCommerce, WordPress Coming Soon Page, WordPress theme OneTone, Simple Fields WordPress Plugin, WordPress Delucks SEO plugin, Poll, Survey, Form & Quiz Maker by OpinionStage, Social Metrics Tracker, WPeMatico RSS Feed Fetcher Rich Reviews plugin.

Para peneliti memperhatikan bahwa kedua varian trojan berisi fungsionalitas yang belum diimplementasikan untuk meretas akun administrator situs web WordPress melalui serangan brute-force menggunakan dictionary khusus.

Para peneliti merekomendasikan admin situs WordPress untuk selalu memperbarui semua komponen CMS, dan juga mendesak untuk menggunakan login dan kata sandi yang kuat dan unik untuk akun mereka.