Nuovo malware Linux che sfrutta oltre 20 difetti CMS nei siti WP

Pubblicato: 2023-02-06

È emerso un nuovo malware Linux che sfrutta le vulnerabilità di sicurezza all'interno dei temi WordPress e dei plug-in dei siti Web eseguiti su una piattaforma Linux. Eseguendo Javascript per prendere di mira il codice sorgente del sito Web, il malware può aiutare i criminali informatici a lanciare attacchi DDoS, accedere a dati sensibili e reindirizzare gli utenti a siti Web dannosi.

Questo articolo fornirà una panoramica completa di questo nuovo malware Linux, discutendo come funziona, i difetti CMS che possono essere sfruttati e cosa si può fare per prevenire un simile attacco.

Che cos'è un attacco malware Linux?

Molti degli odierni ambienti cloud sono basati su un sistema operativo Linux. Per questo motivo, gli attacchi informatici rivolti direttamente agli host Web che utilizzano Linux sono in aumento. Infiltrandosi con successo in un ambiente Linux, i criminali informatici possono accedere a una serie di dati sensibili, eseguire malware e potenzialmente causare danni a lungo termine all'infrastruttura IT.

Trovato nuovo malware Linux
Avviso malware Linux

Dal 2020, i virus trojan e i ransomware sono stati le forme più comuni di attacchi malware basati su Linux.

Le vulnerabilità, come gli ultimi difetti del CMS di WordPress, hanno compromesso le reti. Altre vulnerabilità includono la mancanza di autenticazione su una rete o un'errata configurazione del server. Sfortunatamente, tali attacchi hanno avuto un discreto successo negli ultimi anni e stanno diventando più sofisticati e diversificati, causando grattacapi ai team di sicurezza informatica.

I tipi di attacchi malware Linux

Esistono molti modi diversi in cui un autore di minacce può eseguire un attacco malware. Di seguito sono riportati alcuni dei tipi più comuni.

Malware che prende di mira le immagini VM

Il malware è in costante miglioramento, trovando nuove vulnerabilità che vengono prese di mira con attacchi straordinariamente ponderati da parte di abili criminali informatici. Uno di questi attacchi prevede il targeting di immagini di macchine virtuali (VM) utilizzate per gestire i carichi di lavoro.

In questo modo, gli attori delle minacce possono ottenere l'accesso a preziose risorse ospitate sul cloud, consentendo loro di causare il caos.

Criptojacking

Il cryptojacking può essere molto redditizio per i criminali informatici, utilizzando le risorse IT della vittima per generare criptovaluta. Anche aziende globali come Tesla sono state vittime di un simile attacco.

Il malware di cryptojacking sfrutta i sistemi privi di sicurezza avanzata, consentendo agli hacker di dirottare i sistemi e di estrarre le criptovalute a spese della vittima.

Attacchi Linux senza file

Utilizzando lo strumento Ezuri open source, scritto da Golang, gli hacker possono crittografare il malware, decrittografarlo su una rete violata e non lasciare traccia sul disco di sistema. Ciò consente al malware di aggirare il software antivirus.

Il gruppo di criminali informatici TeamTNT utilizza comunemente questa tecnica. Per le grandi organizzazioni, ciò può avere conseguenze estreme, violando le normative di conformità. La salvaguardia da tali attacchi può fare molto per garantire la conformità PCI e aderire ad altre linee guida normative.

Spiegazione della conformità PCI
Spiega la conformità PCI

Malware sponsorizzato dallo stato

I gruppi di stati-nazione stanno aumentando i loro attacchi agli ambienti Linux, e questo è particolarmente evidente nella guerra tra Russia e Ucraina. L'obiettivo principale di questi attacchi malware è interrompere le comunicazioni e distruggere i dati.

In che modo i siti Web WP vengono presi di mira dal nuovo malware Linux

Un nuovo ceppo di malware Linux che non era precedentemente noto agli esperti di sicurezza informatica ha preso di mira i siti Web di WordPress o, più precisamente, oltre venti plug-in e temi.

Il fornitore di sicurezza russo Doctor Web ha analizzato questa nuova minaccia, evidenziando le potenziali vulnerabilità. Un rappresentante di Doctor Web ha affermato in un recente rapporto: "Se i siti utilizzano versioni obsolete di tali componenti aggiuntivi, privi di correzioni cruciali, le pagine Web mirate vengono iniettate con JavaScript dannosi. Di conseguenza, quando gli utenti fanno clic su qualsiasi area di una pagina attaccata, vengono reindirizzati ad altri siti".

Gli attacchi prendono di mira siti Web specifici con plug-in e temi vulnerabili per distribuire malware. Ciò aiuta a creare una rete di siti Web (botnet) a cui i criminali informatici hanno accesso remoto, consentendo loro di svolgere varie attività. JavaScript può anche essere iniettato in un sistema recuperato da un server remoto, reindirizzando gli utenti che accedono a un sito Web violato e inviandoli a un sito Web dannoso.

Un'altra versione backdoor dell'attacco ha coinvolto un dominio di comando e controllo (C2) precedentemente sconosciuto, oltre a prendere di mira gli oltre 20 difetti del CMS di WordPress.

In entrambi i casi, l'attaccante utilizza un metodo di forza bruta per infiltrarsi negli account amministratore di WordPress. Doctor Web ha aggiunto: "Se tale opzione viene implementata nelle versioni più recenti della backdoor, i criminali informatici saranno persino in grado di attaccare con successo alcuni di quei siti Web che utilizzano le versioni correnti del plug-in con vulnerabilità corrette".

Oltre 20 difetti CMS che sono stati sfruttati

L'elenco dei temi e dei plug-in vulnerabili sfruttati dal malware Linux include:

  • Designer di blog (< 1.8.12)
  • Brillante
  • Presto disponibile e modalità di manutenzione (<= 5.1.0)
  • Delude la SEO
  • SMTP WP semplice (1.3.9)
  • Riproduttore video FV Flowplayer
  • Ibrido
  • Live Chat con Messenger Customer Chat di Zotabox (< 1.4.9)
  • Codici brevi ND (<= 5,8)
  • Giornale (CVE-2016-10972, 6.4 – 6.7.1)
  • Onetone
  • Creatore di sondaggi, sondaggi, moduli e quiz di OpinionStage
  • Pubblica modelli personalizzati Lite (< 1.7)
  • Recensioni ricche
  • Campi semplici
  • Smart Google Code Inserter (fuori produzione dal 28 gennaio 2022, < 3.5)
  • Monitoraggio delle metriche sociali
  • Thim Core
  • Donazioni totali (<= 2.0.5)
  • WooCommerce
  • Domande frequenti su WordPress Ultimate (CVE-2019-17232 e CVE-2019-17233, 1.24.2)
  • WPeMatico RSS Feed Fetcher e
  • Conformità GDPR WP (1.4.2)
  • WP Live Chat (8.0.27)
  • Supporto tramite chat dal vivo WP
  • Integrazione WP-Matomo (WP-Piwik)
  • Responsabile delle prenotazioni rapide WP
  • Editor di stile Visual CSS a matita gialla (< 7.2.0)
  • Yuzo Articoli correlati (5.12.89)

Precedenti attacchi malware di WordPress

L'organizzazione di ricerca e intelligence sulle minacce Fortinet FortiGuard Labs ha rivelato un'altra botnet (un gruppo di dispositivi connessi a Internet violati) nota come GoTrim. Questa rete è stata creata utilizzando tecniche di forza bruta su siti Web self-hosted che utilizzano il CMS WordPress, dando loro il pieno controllo del sistema.

Sucuri, una piattaforma di sicurezza e protezione dei siti Web di proprietà di GoDaddy, ha identificato oltre 15.000 siti Web WordPress violati alla fine del 2022. Ciò faceva parte di una campagna malware globale volta a reindirizzare i visitatori del sito Web a portali di domande e risposte controllati dai criminali informatici. A gennaio 2023, oltre 9.000 di questi siti Web erano ancora infetti.

Nell'estate del 2022, Sucuri ha anche pubblicato un rapporto che descriveva in dettaglio un sistema di direzione del traffico (TDS) soprannominato "Pappagallo" che prendeva di mira i siti Web WordPress utilizzando malware basato su JavaScript.

Come prevenire gli attacchi di malware Linux

Per prevenire un tale attacco, si consiglia a tutti gli utenti di WordPress di aggiornare tutti i componenti dei propri siti Web, inclusi eventuali plug-in e temi di terze parti. Come best practice, gli utenti dovrebbero anche utilizzare password complesse e dettagli di accesso univoci per ciascun utente per aumentare la sicurezza.

I proprietari di siti Web dovrebbero inoltre eseguire backup regolari dei propri dati, riducendo la possibilità di essere vittima di un attacco ransomware, mentre si consiglia inoltre di installare plug-in di sicurezza premium regolarmente aggiornati.

Avvolgendo

Questo attacco appena identificato prende di mira oltre 20 plugin e temi di WordPress ospitati su un ambiente Linux, consentendo ai criminali informatici di eseguire malware. Molti di questi attacchi comportano il reindirizzamento dei visitatori del sito Web a siti Web fasulli, mentre altri aiutano gli hacker a sviluppare botnet che possono essere utilizzate per una serie di crimini.

Gli utenti di WordPress possono prevenire un simile attacco mantenendo aggiornati tutti i plugin e i temi e utilizzando forti credenziali di accesso. La maggior parte dei siti Web che sono stati vittime di attacchi di malware sono mal gestiti, hanno una sicurezza minima installata e utilizzano password deboli.