Специалисты «Доктор Веб» обнаружили и изучили новое вредоносное приложение для ОС Linux. Утилита предназначена для взлома сайтов на движке WordPress через уязвимости в темах оформления и плагинах. Если владелец ресурса не уделяет внимание оперативному обновлению плагинов, утилита находит незакрытые уязвимости и интегрирует в код страниц вредоносный кон на JavaScript. После этого клик мышкой в любом месте страницы инициирует перенаправление пользователя на другой ресурс.
В базы компании вирус занесен как Linux.BackDoor.WordPressExploit.1, проектирован изначально для работы на 32-битных платформах семейства Linux. Однако дальнейший анализ показал способность функционировать и на 64-версиях ОС.
Бэкдор после заражения системы способен принимать внешние команды, среди которых: переход в режим ожидания, старт атаки на указанный сайт, завершение работы. Перед атакой на веб-страницу утилита по очереди проверяет наличие устаревших плагинов и тем, используя собственный список. При обнаружении уязвимости с удаленного сервера запрашивается вредоносный скрипт, который встраивается в атакованную страницу. При этом JavaScript в исходном коде размещается таким образом, чтобы при открытии сайта запускался перед остальными скриптами сайта.
Вредоносная программа также собирает статистику своей работы. Отслеживается, кроме прочего, общее количество атакованных ресурсов и успешные заражения. Также собирается информация обо всех обнаруженных уязвимостях.
Дальнее расследование позволило специалистам «Доктор Веб» обнаружить обновленную версию вируса – Linux.BackDoor.WordPressExploit.2. Из основных отличий – расширенный перечень анализируемых плагинов, другой управляющий сервер и домен, с которого происходит загрузка вредоносных скриптов.
В обеих версиях также обнаружены неиспользуемые модули для взлома аккаунтов администратора сайта через брутфорс. Специалисты пока не выяснили, остались ли эти модули от более старых версий вируса или злоумышленники только планируют добавить данный функционал. В последнем случае приложение получит возможность атаковать сайты, которые используют только последние версии плагинов.
Злоумышленники уже много лет активно атакуют сайты на WordPress. Меры защиты в данной ситуации стандартны – использовать надежные пароли и нестандартные логины для создания учетных записей, а также обновлять все используемые компоненты.