ไซต์ WordPress หลายร้อยแห่งติดไวรัสโดยแบ็คดอร์ที่เพิ่งค้นพบ

มัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ที่ไม่ได้แพตช์ในปลั๊กอิน WordPress ที่แตกต่างกัน 30 รายการได้ติดไวรัสหลายร้อยหรือหลายพันไซต์ และอาจมีการใช้งานอย่างต่อเนื่องเป็นเวลาหลายปี ตามรายงานที่เผยแพร่เมื่อสัปดาห์ที่แล้ว

มัลแวร์บน Linux ติดตั้งแบ็คดอร์ที่ทำให้ไซต์ที่ติดไวรัสเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่เป็นอันตราย นักวิจัยจาก บริษัท รักษาความปลอดภัย Dr.Web กล่าว. นอกจากนี้ยังสามารถปิดใช้งานการบันทึกเหตุการณ์ เข้าสู่โหมดสแตนด์บาย และปิดตัวเอง ได้รับการติดตั้งโดยใช้ประโยชน์จากช่องโหว่ที่แก้ไขแล้วในปลั๊กอินที่เจ้าของเว็บไซต์ใช้เพื่อเพิ่มฟังก์ชัน เช่น แชทสดหรือการรายงานเมตริกไปยังระบบจัดการเนื้อหา WordPress หลัก

“หากไซต์ใช้ส่วนเสริมดังกล่าวในเวอร์ชันที่ล้าสมัย ขาดการแก้ไขที่สำคัญ หน้าเว็บเป้าหมายจะถูกแทรกด้วยจาวาสคริปต์ที่เป็นอันตราย” นักวิจัยของ Dr.Web กล่าว “ด้วยเหตุนี้ เมื่อผู้ใช้คลิกที่ส่วนใดของหน้าที่ถูกโจมตี พวกเขาจะถูกเปลี่ยนเส้นทางไปยังไซต์อื่น”

การค้นหาเช่น อันนี้ ระบุว่าไซต์มากกว่า 1,300 แห่งมี JavaScript ที่ขับเคลื่อนแบ็คดอร์ เป็นไปได้ว่าไซต์เหล่านั้นบางแห่งได้ลบโค้ดที่เป็นอันตรายออกไปตั้งแต่การสแกนครั้งล่าสุด ถึงกระนั้นก็เป็นการบ่งชี้ถึงการเข้าถึงของมัลแวร์

ปลั๊กอินที่ถูกโจมตีได้แก่:

• ปลั๊กอินสนับสนุน WP Live Chat
• WordPress – Yuzo กระทู้ที่เกี่ยวข้อง
• ปลั๊กอินเครื่องมือปรับแต่งธีมดินสอสีเหลือง
• Easysmtp
• ปลั๊กอินการปฏิบัติตาม WP GDPR
• ธีมหนังสือพิมพ์บน WordPress Access Control (ช่องโหว่ CVE-2016-10972)
• ทิมคอร์
• ตัวแทรกโค้ดของ Google
• ปลั๊กอินการบริจาคทั้งหมด
• โพสต์เทมเพลตที่กำหนดเอง Lite
• WP ผู้จัดการการจองด่วน
• Facebook แชทสดโดย Zotabox
• ปลั๊กอิน WordPress ออกแบบบล็อก
• คำถามที่พบบ่อยเกี่ยวกับ WordPress Ultimate (ช่องโหว่ CVE-2019-17232 และ CVE-2019-17233)
• การรวม WP-Matomo (WP-พิวิก)
• รหัสย่อ WordPress ND สำหรับผู้แต่งภาพ
• WP แชทสด
• หน้าเร็ว ๆ นี้และโหมดการบำรุงรักษา
• ไฮบริด
• ปลั๊กอิน Brizy WordPress
• เครื่องเล่นวิดีโอ FV Flowplayer
• WooCommerce
• หน้า WordPress เร็ว ๆ นี้
• ธีม WordPress OneTone
• ปลั๊กอิน WordPress ฟิลด์อย่างง่าย
• ปลั๊กอิน WordPress Delucks SEO
• โพลล์ แบบสำรวจ แบบฟอร์ม & Quiz Maker โดย OpinionStage
• ตัวติดตามตัวชี้วัดทางสังคม
• WPeMatico RSS Feed Fetcher
• ปลั๊กอินบทวิจารณ์ที่หลากหลาย

“หากมีการเจาะช่องโหว่สำเร็จอย่างน้อยหนึ่งช่องโหว่ หน้าเป้าหมายจะถูกแทรกด้วย JavaScript ที่เป็นอันตรายซึ่งดาวน์โหลดจากเซิร์ฟเวอร์ระยะไกล” บทความของ Dr.Web อธิบาย “ด้วยเหตุนี้ การฉีดจะทำในลักษณะที่ว่าเมื่อเพจที่ติดไวรัสถูกโหลด JavaScript นี้จะเริ่มทำงานก่อน โดยไม่คำนึงว่าเนื้อหาดั้งเดิมของเพจจะเป็นเช่นไร ณ จุดนี้ เมื่อใดก็ตามที่ผู้ใช้คลิกที่ใดก็ได้บนหน้าที่ติดไวรัส พวกเขาจะถูกโอนไปยังเว็บไซต์ที่ผู้โจมตีต้องการให้ผู้ใช้ไปที่”

JavaScript มีลิงก์ไปยังโดเมนที่เป็นอันตรายต่างๆ รวมถึง:

ความปรารถนาในการล็อบบี้[.]คอม
Let’smakeparty3[.]กา
กลยุทธ์การจัดส่งที่ดี[.]คอม
gabriellalovecats[.]คอม
css[.]ย่อยอาหาร[.]คอม
โคลน[.]สะสมfasttracks[.]คอม
นับ[.]ติดตามสถิติ[.]คอม

ภาพหน้าจอด้านล่างแสดงลักษณะที่ JavaScript ปรากฏในแหล่งที่มาของหน้าของไซต์ที่ติดไวรัส:

นักวิจัยพบแบ็คดอร์สองเวอร์ชัน: Linux.BackDoor.WordPressExploit.1 และ Linux.BackDoor.WordPressExploit.2. พวกเขากล่าวว่ามัลแวร์อาจใช้งานมาสามปีแล้ว

ปลั๊กอิน WordPress เป็นวิธีการทั่วไปในการแพร่ระบาดของเว็บไซต์มานานแล้ว แม้ว่าความปลอดภัยของแอปพลิเคชันหลักจะค่อนข้างแข็งแกร่ง แต่ปลั๊กอินจำนวนมากก็เต็มไปด้วยช่องโหว่ที่อาจนำไปสู่การติดไวรัส อาชญากรใช้ไซต์ที่ติดไวรัสเพื่อเปลี่ยนเส้นทางผู้เยี่ยมชมไปยังไซต์ที่ใช้สำหรับฟิชชิง การฉ้อโกงโฆษณา และการแพร่กระจายมัลแวร์

ผู้ที่ใช้งานเว็บไซต์ WordPress ควรตรวจสอบให้แน่ใจว่าพวกเขากำลังใช้ซอฟต์แวร์หลักและปลั๊กอินที่เป็นเวอร์ชันล่าสุด พวกเขาควรให้ความสำคัญกับการอัปเดตปลั๊กอินใด ๆ ที่ระบุไว้ด้านบน