بدافزار جدید لینوکس که سایت های وردپرس را هدف قرار می دهد

بدافزار جدید لینوکس که سایت های وردپرس را هدف قرار می دهدتاریخ انتشار : ۱۶ دی, ۱۴۰۱

تاریخ انتشار : ۱۶ دی, ۱۴۰۱

بر اساس تحقیقات شرکت امنیت سایبری Dr.Web، یک نوع ناشناخته از بدافزار لینوکس، وب سایت های مبتنی بر وردپرس را هدف قرار می دهد. این تروجان با نام Linux.BackDoor.WordPressExploit.1 نسخه های ۳۲ بیتی لینوکس را هدف قرار می دهد اما می تواند روی نسخه های ۶۴ بیتی نیز اجرا شود. عملکرد اصلی آن هک وب سایت های مبتنی بر سیستم مدیریت محتوای وردپرس (CMS) و تزریق یک جاوا اسکریپت مخرب به صفحات وب آنها است.

Backdoor این حملات را با بهره‌برداری از آسیب‌پذیری‌های شناخته شده در افزونه‌ها و مضامین قدیمی وردپرس که می‌توانند روی یک وب‌سایت نصب شوند، راه‌اندازی می‌کند. اینها شامل افزونه پشتیبانی WP Live Chat، WP Live Chat، Google Code Inserter و WP Quick Booking Manager هستند.

تروجان از راه دور توسط عوامل مخرب کنترل می شود، که آدرس وب سایتی را که قرار است از طریق سرور فرمان و کنترل (C&C) آن را آلوده کند، ارتباط می دهند. عوامل تهدید همچنین می توانند بدافزار را از راه دور به حالت آماده به کار تغییر دهند، آن را خاموش کنند و ثبت اقدامات آن را متوقف کنند.

دکتر وب بر این باور است که این ابزار مخرب می تواند بیش از سه سال توسط مجرمان سایبری برای انجام چنین حملاتی و کسب درآمد از فروش مجدد ترافیک یا آربیتراژ استفاده شده باشد.

محققان در توضیح نحوه عملکرد این فرآیند خاطرنشان کردند که هنگامی که یک آسیب‌پذیری پلاگین یا موضوع مورد سوء استفاده قرار می‌گیرد، «تزریق به گونه‌ای انجام می‌شود که وقتی صفحه آلوده بارگیری می‌شود، ابتدا این جاوا اسکریپت آغاز می‌شود – صرف نظر از محتوای اصلی صفحه.”

این بدان معنی است که کاربران با کلیک کردن در هر نقطه از صفحه وب آلوده به وب سایت مورد نظر مهاجمان منتقل می شوند.

برنامه تروجان تعداد وب‌سایت‌های مورد حمله، هر مورد از آسیب‌پذیری مورد سوء استفاده و تعداد دفعاتی که با موفقیت از افزونه سؤالات متداول WordPress Ultimate و پیام‌رسان فیس‌بوک Zotabox استفاده کرده است را ردیابی می‌کند. همچنین سرور راه دور را از تمام آسیب پذیری های شناسایی نشده وصله نشده مطلع می کند.

علاوه بر این، محققان یک نسخه به روز شده از بدافزار به نام Linux.BackDoor.WordPressExploit.2 را کشف کردند. این نوع دارای آدرس سرور C&C و آدرس دامنه متفاوتی است که جاوا اسکریپت مخرب از آن دانلود می شود.

Dr.Web اضافه کرد که هر دو نسخه از تروجان دارای یک عملکرد «پیاده‌نشده» برای هک کردن حساب‌های مدیر وب‌سایت‌های هدف از طریق یک حمله brute-force هستند. این را می توان با استفاده از لاگین ها و رمزهای عبور شناخته شده با استفاده از واژگان خاص به دست آورد.

محققان هشدار دادند که مهاجمان ممکن است در حال برنامه ریزی برای استفاده از این قابلیت برای نسخه های آینده بدافزار باشند. آنها اظهار داشتند: «اگر چنین گزینه‌ای در نسخه‌های جدیدتر Backdoor پیاده‌سازی شود، مجرمان سایبری حتی می‌توانند با موفقیت به برخی از وب‌سایت‌هایی که از نسخه‌های افزونه فعلی با آسیب‌پذیری‌های وصله‌شده استفاده می‌کنند، حمله کنند».

Dr.Web از صاحبان وب‌سایت‌های مبتنی بر وردپرس خواست تا تمام مؤلفه‌های پلتفرم خود را به‌روز نگه دارند، «از جمله افزونه‌ها و تم‌های شخص ثالث، و همچنین از لاگین‌ها و رمزهای عبور قوی و منحصربه‌فرد برای حساب‌های خود استفاده کنند».

با توجه به اینکه تخمین زده می شود وردپرس توسط حدود ۴۳٪ از وب سایت ها استفاده می شود، این CMS به شدت مورد هدف مجرمان سایبری قرار گرفته است.

در سپتامبر ۲۰۲۲، شرکت Wordfence متمرکز بر امنیت وردپرس هشداری را منتشر کرد مبنی بر اینکه هکرها پنج میلیون بار از یک نقص روز صفر در یک افزونه وردپرس به نام BackupBuddy سوء استفاده کردند.

چند ماه قبل، در ژوئن ۲۰۲۲، وردپرس مجبور شد بیش از یک میلیون سایت را به روز کند تا آسیب پذیری مهمی را که بر افزونه Ninja Forms تأثیر می‌گذاشت اصلاح کند.

شرکت امنیتی وب سایت متعلق به GoDaddy، در ژوئن ۲۰۲۲، همچنین اطلاعاتی را در مورد یک سیستم هدایت ترافیک (TDS) به نام Parrot به اشتراک گذاشت که مشاهده شده است که سایت های وردپرس را با جاوا اسکریپت سرکش که بدافزار اضافی را روی سیستم های هک شده، هدف قرار می دهد.

پلاگین ها و تم های مورد نظر در زیر آمده است :