تصيب البرامج الضارة المستترة على نظام Linux مواقع الويب المستندة إلى WordPress
اكتشف Doctor Web برنامج Linux ضارًا يخترق مواقع الويب استنادًا إلى WordPress CMS. يستغل 30 نقطة ضعف في عدد من المكونات الإضافية والسمات لهذا النظام الأساسي. إذا كانت المواقع تستخدم إصدارات قديمة من هذه الوظائف الإضافية ، تفتقر إلى الإصلاحات الحاسمة ، يتم حقن صفحات الويب المستهدفة بجافا سكريبت ضارة. نتيجة لذلك ، عندما ينقر المستخدمون على أي منطقة في صفحة تعرضت للهجوم ، يتم إعادة توجيههم إلى مواقع أخرى.
لسنوات عديدة ، كان مجرمو الإنترنت يهاجمون مواقع الويب التي تعتمد على WordPress. يقوم خبراء أمن المعلومات بتسجيل الحالات عند استخدام نقاط ضعف مختلفة في منصة WordPress من أجل اختراق المواقع وضخ البرامج النصية الخبيثة فيها. كشف تحليل لتطبيق طروادة غير مكشوف ، أجراه متخصصو Doctor Webs ، أنه قد يكون الأداة الخبيثة التي يستخدمها مجرمو الإنترنت لأكثر من ثلاث سنوات لتنفيذ مثل هذه الهجمات وتحقيق الدخل من إعادة بيع حركة المرور أو المراجحة.
يطلق عليها اسم Linux.BackDoor.WordPressExploit.1 وفقًا لتصنيف Dr.Web لمكافحة الفيروسات ، تستهدف هذه البرامج الضارة إصدارات 32 بت من Linux ، ولكن يمكن أيضًا تشغيلها على إصدارات 64 بت. Linux.BackDoor.WordPressExploit.1 هو باب خلفي يتم التحكم فيه عن بعد من قبل الجهات الخبيثة. بناءً على أمرهم ، يمكنه تنفيذ الإجراءات التالية:
- مهاجمة صفحة ويب محددة (موقع ويب)
- التبديل إلى وضع الاستعداد
- أغلق نفسه
- وقفة تسجيل أفعالها
تتمثل الوظيفة الرئيسية لأحصنة طروادة في اختراق مواقع الويب استنادًا إلى WordPress CMS (نظام إدارة المحتوى) وضخ برنامج نصي ضار في صفحات الويب الخاصة بهم. للقيام بذلك ، يستخدم نقاط الضعف المعروفة في مكونات WordPress الإضافية وموضوعات مواقع الويب. قبل الهجوم ، يتصل حصان طروادة بخادم القيادة والتحكم الخاص به ويتلقى عنوان الموقع الذي سيقوم بإصابته. بعد ذلك ، يحاول Linux.BackDoor.WordPressExploit.1 على التوالي استغلال الثغرات الأمنية في المكونات الإضافية والقوالب القديمة التالية التي يمكن تثبيتها على موقع ويب:
- WP Live Chat Support Plugin
- ووردبريس - الوظائف ذات الصلة يوزو
- الأصفر قلم رصاص مرئي مخصص البرنامج المساعد
- إيزيسمتب
- المكون الإضافي WP الامتثال للقانون العام لحماية البيانات (GDPR)
- موضوع الصحيفة على التحكم في الوصول إلى WordPress (الضعف CVE-2016-10972)
- ثيم كور
- جوجل كود Inserter
- إجمالي التبرعات البرنامج المساعد
- نشر قوالب مخصصة لايت
- WP Quick Booking Manager
- Faceboor Live Chat من Zotabox
- البرنامج المساعد WordPress مصمم المدونة
- الأسئلة الشائعة حول WordPress Ultimate (نقاط الضعف CVE-2019-17232 و CVE-2019-17233)
- تكامل WP-Matomo (WP-Piwik)
- أكواد WordPress ND المختصرة للملحن المرئي
- WP Live Chat
- قريبا الصفحة ووضع الصيانة
- هجين
إذا تم استغلال واحدة أو أكثر من الثغرات الأمنية بنجاح ، يتم حقن الصفحة المستهدفة بجافا سكريبت ضار يتم تنزيله من خادم بعيد. وبذلك ، يتم الحقن بطريقة يتم فيها بدء تشغيل JavaScript أولاً عند تحميل الصفحة المصابة - بغض النظر عن المحتويات الأصلية للصفحة. في هذه المرحلة ، عندما ينقر المستخدمون في أي مكان على الصفحة المصابة ، سيتم نقلهم إلى موقع الويب الذي يحتاج المهاجمون إلى المستخدمين للذهاب إليه.
يظهر مثال على إحدى الصفحات المصابة في لقطة الشاشة أدناه:
يقوم تطبيق طروادة بجمع إحصائيات عن عمله. إنه يتتبع العدد الإجمالي لمواقع الويب التي تمت مهاجمتها ، وكل حالة من الثغرات الأمنية يتم استغلالها بنجاح ، بالإضافة إلى ذلك - عدد المرات التي نجحت فيها في استغلال مكون WordPress Ultimate FAQ و Facebook messenger من Zotabox. بالإضافة إلى ذلك ، يقوم بإعلام الخادم البعيد بجميع نقاط الضعف التي تم اكتشافها والتي لم يتم إصلاحها.
إلى جانب التعديل الحالي لتطبيق طروادة هذا ، اكتشف المتخصصون لدينا أيضًا نسخته المحدثة Linux.BackDoor.WordPressExploit.2. إنه يختلف عن العنوان الأصلي من خلال عنوان خادم القيادة والتحكم ، وعنوان المجال الذي يتم تنزيل JavaScript الضار منه ، وأيضًا بقائمة إضافية من الثغرات الأمنية المستغلة للمكونات الإضافية التالية:
- البرنامج المساعد بريزي وورد
- FV Flowplayer مشغل فيديو
- كتب مريم الدخيل لاكاديمية الثراء
- ووردبريس قريبا الصفحة
- وورد موضوع OneTone
- البرنامج المساعد WordPress الحقول البسيطة
- WordPress Delucks SEO plugin
- صانع الاستطلاع والاستطلاع والنموذج والاختبار بواسطة OpinionStage
- متتبع المقاييس الاجتماعية
- WPeMatico RSS Feed Fetcher
- المكوّن الإضافي Rich Reviews
مع ذلك ، تم العثور على كلا متغيري طروادة يحتويان على وظائف غير مطبقة لاختراق حسابات المسؤول في مواقع الويب المستهدفة من خلال هجوم القوة الغاشمة - من خلال تطبيق معلومات تسجيل الدخول وكلمات المرور المعروفة ، باستخدام مفردات خاصة. من المحتمل أن تكون هذه الوظيفة موجودة في تعديلات سابقة ، أو على العكس من ذلك ، يخطط المهاجمون لاستخدامها في الإصدارات المستقبلية من هذه البرامج الضارة. إذا تم تنفيذ مثل هذا الخيار في الإصدارات الأحدث من الباب الخلفي ، فسيكون مجرمو الإنترنت قادرين على مهاجمة بعض تلك المواقع التي تستخدم إصدارات البرنامج المساعد الحالية مع ثغرات مصححة.
يوصي موقع Doctor Web مالكي مواقع الويب المستندة إلى WordPress بالحفاظ على جميع مكونات النظام الأساسي محدثة ، بما في ذلك الوظائف الإضافية والسمات التابعة لجهات خارجية ، وكذلك استخدام كلمات مرور وكلمات مرور قوية وفريدة من نوعها لحساباتهم.
- https://wptavern.com/linux-backdoor-malware-targets-wordpress-sites-with-outdated-vulnerable-themes-and-plugins
- https://news.drweb.com/show/?i=14646&lng=en
- https://hacksnation.com/d/14963-be-careful-wordpress-users
