Backdoor-Trojaner nutzt WordPress-Plugin Schwachstellen aus
Ein neu identifiziertes Trojaner-Backdoor-Programm nutzt rund 30 Schwachstellen in WordPress-Plug-ins und -Themes aus, um in Websites einzudringen, die auf dem CMS basieren. Dazu reicht eine Schwachstelle allein aus, um in das System zu kommen.
Betroffen sind laut Doctor Web vorwiegend veraltete und ungepatchte Versionen dieser Themes und Plugins. Zwei Versionen der Malware nämlich Linux.BackDoor.WordPressExploit.1 und Linux.BackDoor.WordPressExploit.2 sind aktuell bekannt. Mit diesem Trojaner wird versucht, die Besucher auf eine schädliche Website umleiten und so die Leute betrügen. Um so einer Gefahr, nur wegen veralteter Software entgegenzuwirken, sollte ein Administrator immer die automatische Aktualisierung des CMS, sowie der Themes und Plug-ins aktiviert haben.
Laut den Forschern könnte es sein, dass dieses bösartige Tool seit mehr als 3 Jahren unterwegs ist und dazu dient den abgegriffenen Traffic zu monetarisieren. (Arbitrage)
Malware (kurz für „malicious software“) ist eine Art von Software, die entwickelt wurde, um Schaden anzurichten, Daten zu stehlen oder unerwünschte Aktivitäten auf einem Computer auszuführen.
Arbitrage hingegen ist eine Handelsstrategie, die darauf abzielt, von Preisunterschieden zwischen verschiedenen Märkten oder Handelsplätzen zu profitieren. Es ist möglich, dass Malware eingesetzt wird, um Arbitrage-Aktivitäten zu unterstützen oder zu erleichtern, indem sie beispielsweise den Zugriff auf bestimmte Handelsplattformen ermöglicht oder den Handel automatisierter gestaltet. Allerdings ist Malware im Allgemeinen nicht speziell für Arbitrage-Aktivitäten entwickelt worden und wird auch in vielen anderen Bereichen eingesetzt.
Zu den Plug-ins und Themes, die von der Version 1 des Trojaners missbraucht werden, gehören
- WP Live Chat Support Plugin
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Google Code Inserter
- Blog Designer WordPress Plugin
- WP Live Chat.
Version 2 nutzt andere WordPress-Plugins aus:
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WordPress Coming Soon Page
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
WordPress-Plug-ins und -Themes sind ein beliebtes Mittel für Cyberkriminelle, die Websites übernehmen wollen; sie können für alles Mögliche verwendet werden, von Phishing über Anzeigenbetrug bis hin zur Verbreitung von Malware. Schwachstellen sind keine Seltenheit. So wurde im Dezember eine SSRF-Schwachstelle im Google Web Stories-Plug-in gefunden, die es einem Cyberangreifer ermöglicht, Metadaten von WordPress-Websites zu sammeln, die auf einem AWS-Server gehostet werden, und sich möglicherweise bei einer Cloud-Instanz anzumelden, um Befehle auszuführen.
Quelle: Darkreading