Yeni tanımlanan bir Trojan arka kapı programı, WordPress içerik yönetim sistemine dayalı web sitelerini ihlal etmek için WordPress eklentilerindeki ve temalarındaki yaklaşık 30 güvenlik açığından yararlanır. Bir saldırı gerçekleştirmek için yalnızca bu kusurlardan birini kötüye kullanması gerekir.
Kötü amaçlı yazılımın iki yinelemesini keşfeden Doctor Web araştırmacıları — Linux.BackDoor.WordPressExploit.1 ve Linux.BackDoor.WordPressExploit.2 – bu WordPress araçlarının eski veya yamalanmamış sürümlerini çalıştıran söz konusu siteler, site ziyaretçilerini hain web sitelerine yönlendiren kötü amaçlı JavaScript’leri barındırma riski altındadır ve bu programları en kısa sürede güncellemelidir.
Ve işte ürkütücü bir sürpriz: “Doctor Web’in uzmanları tarafından gerçekleştirilen ele geçirilmemiş bir trojan uygulamasının analizi, bunun siber suçluların bu tür saldırıları gerçekleştirmek ve trafiğin yeniden satışından para kazanmak için üç yılı aşkın bir süredir kullandıkları kötü niyetli bir araç olabileceğini ortaya çıkardı.” veya arbitraj,” araştırmacılar kötü amaçlı yazılım hakkında yazdıLinux’un 32 bit sürümlerini hedefleyen ve aynı zamanda platformun 64 bit sürümlerinde de çalışabilen.
Eklentiler ve temalar arasında Trojan’ın 1. sürüm varyantının suistimalleri şunlardır: WP Canlı Sohbet Destek Eklentisi; Sarı Kalem Görsel Tema Özelleştirme Eklentisi; kolay smtp; WP GDPR Uyumluluk Eklentisi; Google Kod Yerleştirici; Blog Tasarımcısı WordPress Eklentisi; ve WP Canlı Sohbet. Sürüm 2, Brizy WordPress Eklentisi dahil olmak üzere diğer WordPress eklentilerinden yararlanır; FV Flowplayer Video Oynatıcı; WordPress Çok Yakında Sayfası; OpinionStage’den Anket, Anket, Form ve Sınav Yapıcı; ve Sosyal Metrik İzleyici.
WordPress eklentileri ve temaları, web sitelerini ele geçirmek isteyen siber suçlular için popüler bir yoldur; kimlik avından reklam dolandırıcılığına ve kötü amaçlı yazılım dağıtımına kadar her şey için kullanılabilirler. Güvenlik açıkları nadir değildir. Örneğin, Aralık ayında Google Web Stories eklentisinde, bir siber saldırganın bir AWS sunucusunda barındırılan WordPress sitelerinden meta veri toplamasına ve potansiyel olarak komutları çalıştırmak için bir bulut örneğinde oturum açmasına olanak tanıyan bir SSRF güvenlik açığı bulundu.