بر اساس تحقیقات شرکت امنیت سایبری Dr.Web، یک نوع ناشناخته از بدافزار لینوکس، وب سایت های مبتنی بر وردپرس را هدف قرار می دهد. این تروجان با نام Linux.BackDoor.WordPressExploit.1 نسخه های ۳۲ بیتی لینوکس را هدف قرار می دهد اما می تواند روی نسخه های ۶۴ بیتی نیز اجرا شود. عملکرد اصلی آن هک وب سایت های مبتنی بر سیستم مدیریت محتوای وردپرس (CMS) و تزریق یک جاوا اسکریپت مخرب به صفحات وب آنها است.
Backdoor این حملات را با بهرهبرداری از آسیبپذیریهای شناخته شده در افزونهها و مضامین قدیمی وردپرس که میتوانند روی یک وبسایت نصب شوند، راهاندازی میکند. اینها شامل افزونه پشتیبانی WP Live Chat، WP Live Chat، Google Code Inserter و WP Quick Booking Manager هستند.
تروجان از راه دور توسط عوامل مخرب کنترل می شود، که آدرس وب سایتی را که قرار است از طریق سرور فرمان و کنترل (C&C) آن را آلوده کند، ارتباط می دهند. عوامل تهدید همچنین می توانند بدافزار را از راه دور به حالت آماده به کار تغییر دهند، آن را خاموش کنند و ثبت اقدامات آن را متوقف کنند.
دکتر وب بر این باور است که این ابزار مخرب می تواند بیش از سه سال توسط مجرمان سایبری برای انجام چنین حملاتی و کسب درآمد از فروش مجدد ترافیک یا آربیتراژ استفاده شده باشد.
محققان در توضیح نحوه عملکرد این فرآیند خاطرنشان کردند که هنگامی که یک آسیبپذیری پلاگین یا موضوع مورد سوء استفاده قرار میگیرد، «تزریق به گونهای انجام میشود که وقتی صفحه آلوده بارگیری میشود، ابتدا این جاوا اسکریپت آغاز میشود – صرف نظر از محتوای اصلی صفحه.”
این بدان معنی است که کاربران با کلیک کردن در هر نقطه از صفحه وب آلوده به وب سایت مورد نظر مهاجمان منتقل می شوند.
برنامه تروجان تعداد وبسایتهای مورد حمله، هر مورد از آسیبپذیری مورد سوء استفاده و تعداد دفعاتی که با موفقیت از افزونه سؤالات متداول WordPress Ultimate و پیامرسان فیسبوک Zotabox استفاده کرده است را ردیابی میکند. همچنین سرور راه دور را از تمام آسیب پذیری های شناسایی نشده وصله نشده مطلع می کند.
علاوه بر این، محققان یک نسخه به روز شده از بدافزار به نام Linux.BackDoor.WordPressExploit.2 را کشف کردند. این نوع دارای آدرس سرور C&C و آدرس دامنه متفاوتی است که جاوا اسکریپت مخرب از آن دانلود می شود.
Dr.Web اضافه کرد که هر دو نسخه از تروجان دارای یک عملکرد «پیادهنشده» برای هک کردن حسابهای مدیر وبسایتهای هدف از طریق یک حمله brute-force هستند. این را می توان با استفاده از لاگین ها و رمزهای عبور شناخته شده با استفاده از واژگان خاص به دست آورد.
محققان هشدار دادند که مهاجمان ممکن است در حال برنامه ریزی برای استفاده از این قابلیت برای نسخه های آینده بدافزار باشند. آنها اظهار داشتند: «اگر چنین گزینهای در نسخههای جدیدتر Backdoor پیادهسازی شود، مجرمان سایبری حتی میتوانند با موفقیت به برخی از وبسایتهایی که از نسخههای افزونه فعلی با آسیبپذیریهای وصلهشده استفاده میکنند، حمله کنند».
Dr.Web از صاحبان وبسایتهای مبتنی بر وردپرس خواست تا تمام مؤلفههای پلتفرم خود را بهروز نگه دارند، «از جمله افزونهها و تمهای شخص ثالث، و همچنین از لاگینها و رمزهای عبور قوی و منحصربهفرد برای حسابهای خود استفاده کنند».
با توجه به اینکه تخمین زده می شود وردپرس توسط حدود ۴۳٪ از وب سایت ها استفاده می شود، این CMS به شدت مورد هدف مجرمان سایبری قرار گرفته است.
در سپتامبر ۲۰۲۲، شرکت Wordfence متمرکز بر امنیت وردپرس هشداری را منتشر کرد مبنی بر اینکه هکرها پنج میلیون بار از یک نقص روز صفر در یک افزونه وردپرس به نام BackupBuddy سوء استفاده کردند.
چند ماه قبل، در ژوئن ۲۰۲۲، وردپرس مجبور شد بیش از یک میلیون سایت را به روز کند تا آسیب پذیری مهمی را که بر افزونه Ninja Forms تأثیر میگذاشت اصلاح کند.
شرکت امنیتی وب سایت متعلق به GoDaddy، در ژوئن ۲۰۲۲، همچنین اطلاعاتی را در مورد یک سیستم هدایت ترافیک (TDS) به نام Parrot به اشتراک گذاشت که مشاهده شده است که سایت های وردپرس را با جاوا اسکریپت سرکش که بدافزار اضافی را روی سیستم های هک شده، هدف قرار می دهد.
پلاگین ها و تم های مورد نظر در زیر آمده است :
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (discontinued as of January 28, 2022)
- Total Donations
- Post Custom Templates Lite
- WP Quick Booking Manager
- Live Chat with Messenger Customer Chat by Zotabox
- Blog Designer
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- ND Shortcodes
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy
- FV Flowplayer Video Player
- WooCommerce
- Coming Soon Page & Maintenance Mode
- Onetone
- Simple Fields
- Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher, and
- Rich Reviews