Güvenlik açığı bulunan eklentilerin yüklü olduğu WordPress web sitelerini hedefleyen yeni bir kötü amaçlı yazılım varyantı tespit edildi.
Kötü amaçlı yazılım (yeni sekmede açılır) tehdit aktörlerinin, ziyaretçileri sitede herhangi bir yere tıkladıklarında istedikleri bir web sitesine yönlendirmelerine olanak tanır.
Dr.Web araştırmacıları tarafından keşfedilen kötü amaçlı yazılım, Linux.BackDoor.WordPressExploit.1 olarak adlandırılıyor ve Linux’un 64 bit sürümlerinde de çalışabilen 32 bit sürümlerini hedefleyen bir Truva atı olarak tanımlanıyor.
Diğer sürümler
Trojan, savunmasız web sitelerine kötü amaçlı bir JavaScript enjekte ederek çalışır. Bunu, WP Live Chat Support Plugin, WP Live Chat, Google Code Inserter ve WP Quick Booking Manager gibi bir dizi kusurlu eklentideki bilinen güvenlik açıklarından yararlanarak yapar.
Araştırmacılar, kötü amaçlı yazılımın üç yıl kadar uzun süredir aktif olduğundan, trafik sattığından veya arbitrajla uğraştığından şüpheleniyor.
Araştırmacılar, “Enjeksiyon, virüslü sayfa yüklendiğinde, sayfanın orijinal içeriğinden bağımsız olarak, önce bu JavaScript’in başlatılacağı şekilde yapılır” dedi.
Daha sonra, farklı bir komuta ve kontrol (C2) sunucusuna sahip olmanın yanı sıra Brizy WordPress Eklentisi, FV Flowplayer Video Oynatıcı ve WordPress Çok Yakında Sayfa gibi ek eklentilerdeki kusurlardan da yararlanan güncellenmiş bir sürüm de keşfedildi.
Rapor ayrıca, her iki sürümün de, tehdit aktörlerinin kaba kuvvet saldırıları yoluyla yönetici hesaplarını hedeflemesine izin veren bir özellik de dahil olmak üzere, hala etkinleştirilmemiş ek özelliklerle geldiğini belirtti. Bu nedenle, saldırganların önyükleme yapmak için Truva atının ek sürümlerini ve ekstra özellikleri planlamış olma olasılığı yüksektir.
Raporda, “Böyle bir seçenek, arka kapının daha yeni sürümlerinde uygulanırsa, siber suçlular, yamalanmış güvenlik açıklarına sahip mevcut eklenti sürümlerini kullanan bazı web sitelerine başarılı bir şekilde saldırabilir” diye ekliyor.
Web yöneticileri, web sitelerini güvende tutmak için WordPress platformlarının yanı sıra yüklü eklentilerin de güncel olduğundan emin olmalıdır. Ayrıca, özellikle ücretsiz olarak indirilebilenler için, yüklü güncellemelerle ilgili haberleri de takip etmelidirler.
Yolu ile: Bilgi Güvenliği Dergisi (yeni sekmede açılır)