La inyección de WordPress es compatible con una campaña de malware generalizada - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La inyección de WordPress es compatible con una campaña de malware generalizada

Hola, un placer verte por aquí. Soy Eduardo Arroyo y en el día de hoy hablaremos sobre La inyección de WordPress es compatible con una campaña de malware generalizada

La inyección de WordPress es compatible con una campaña de malware generalizada

Los administradores del sitio web deben parchear todos los complementos, el propio WordPress y los servidores backend lo antes posible.

El malware Downloader conocido como Gootloader está envenenando los sitios web de todo el mundo como parte de una campaña cibernética masiva de paso y abrevadero que abusa de los sitios de WordPress inyectándolos con cientos de páginas de contenido falso.

Los oponentes han proporcionado hasta ahora la herramienta de intrusión Cobalt Strike, el troyano bancario Gootkit o el ransomware REvil, según un análisis forense.

Los investigadores de ESentire detectaron una campaña de Gootloader en diciembre, infiltrando docenas de sitios web legítimos involucrados en las industrias de la hospitalidad, el comercio minorista de alta gama, la educación, la atención médica, la música y las artes visuales, entre otras. Todos los sitios pirateados se ejecutan en WordPress.

«El objetivo del juego de los actores de amenazas es infectar a los profesionales de negocios, que hablan inglés, alemán y coreano», según una cirugía sobre la campaña, publicada el jueves. «Su modus operandi es atraer a un profesional corporativo a uno de los sitios web comprometidos y luego hacer clic en un enlace, que conduce a Gootloader, que intenta recuperar la carga útil final, ya sea ransomware, troyano bancario o herramienta de seguridad. Intrusión / ladrón de credenciales . «

Mientras respondían a incidentes en un bufete de abogados, los analistas de eSentire notaron que se escribía código malicioso en el registro de Windows, una táctica común de malware sin archivos. Tras una mayor investigación, se descubrió que la infección se derivó de un empleado que «estaba buscando en Internet modelos de acuerdos comerciales que involucraban a asistentes médicos (AP) que practican la medicina en California».

El empleado encontró una página web de alto nivel que pretendía ser un foro de preguntas y respuestas, que hacía referencia a un enlace a un acuerdo de muestra para las AP que trabajaban en California; pero, cuando la persona intentó abrir el llamado «documento», ejecutó Gootloader.

En otro incidente, un empleado de una firma consultora buscaba en la web el Acuerdo de París, el tratado internacional sobre cambio climático. Cuando el consultor intentó descargar el trato, recibió Gootloader en su lugar.

Otro incidente involucró a un empleado de otro despacho de abogados especializado en el sector de la salud. Esta vez, el empleado buscó en la web el Acuerdo de subordinación Ucc-1, un acuerdo de préstamo bajo el Código Comercial Uniforme. En este caso, el malware Gootloader estaba alojado en el sitio web de un centro de recuperación de dependencias.

Después de una investigación, parece que campañas casi idénticas que utilizan la misma técnica de señuelo de preguntas y respuestas fueron descubiertas en octubre por la empresa surcoreana de ciberseguridad CheckMal (dirigida a personas de habla coreana; y en noviembre por Malwarebytes (dirigida a personas de idioma alemán). ).

Mientras tanto, la investigación de Sophos a principios de esta semana describió la evolución de Gootloader para ofrecer múltiples tipos de cargas útiles, incluidos ransomware y Cobalt Strike.

En total, eSentire descubrió varias docenas de sitios de WordPress que habían sido comprometidos para propagar los ataques. En todos los casos, los sitios estaban cargados de páginas de blogs falsas.

No está claro cómo los sitios se vieron comprometidos inicialmente, dijo eSentire; pero podría haber sucedido a través de un complemento vulnerable; O es posible que el sitio web de WordPress simplemente no se haya actualizado, anotaron los investigadores. También es posible que los atacantes se hayan infiltrado a través de un servidor inseguro.

En cualquier caso, el contenido de los sitios había sido manipulado y agregado, mientras que se inyectaba código malicioso a partir de diciembre.

«Los sitios de WordPress comprometidos han sido inyectados con decenas de cientos de publicaciones en blogs», explicaron los investigadores.
Varias características eran estándar en las publicaciones de blog publicadas, encontraron los analistas; por ejemplo, el título de todos contenía la palabra «acuerdo».

«Este titular no siempre se refería a un trato significativo», según la encuesta. «Por ejemplo, a veces solo incluía un dominio web como título, que contenía la palabra ‘acuerdo'».

El contenido también constaba de frases completas relacionadas con el tema de la ley, dispuestas en orden aleatorio y sin sentido, según el mensaje. Cuando son visitadas por la infraestructura de seguridad y las máquinas virtuales (VM), estas publicaciones de blog de trampas inyectadas son visibles, pero cuando el servidor backend de los atacantes detecta una víctima potencial, la publicación del blog se oculta detrás de las publicaciones falsas del foro mencionado anteriormente. Esas superposiciones sirven a los enlaces maliciosos que conducen a Gootloader.

«Búsquedas exactas de Google para [blog post] las frases condujeron a blogs más comprometidos, así como a algún contenido de origen legítimo, «afirmaron».[We have] Todavía no he descubierto dos blogs con el mismo contenido exacto. «

Finalmente, todas las publicaciones de blog inyectadas en un sitio web comprometido en particular se distribuyeron en diciembre.

«Como tal, a veces han aparecido en un directorio inyectado / 2020, si no en un directorio inyectado / 2020/12», explicaron los investigadores. «Los cambios en la estructura del directorio probablemente se debieron a la estructura subyacente del sitio legítimo de WordPress».

«Los sitios web comprometidos sirvieron como base para la campaña Gootloader, proporcionando alojamiento malicioso y optimización de motores de búsqueda (SEO) a los actores de amenazas», según el mensaje. «Esto permitió que las amenazas entregaran cargas útiles arbitrarias y maliciosas a profesionales desprevenidos».

La desafortunada realidad con este tipo de ataques es que debido a que el contenido malicioso está alojado en sitios web legítimos, es difícil identificar la amenaza como un usuario promedio de un sitio web. Para evitar ser víctimas de tales campañas, las víctimas deben prestar atención a lo que están descargando de Internet, según eSentire.

«Si descarga un documento de Internet pero recibe un archivo JavaScript, no lo abra», según los investigadores. «Incluso los documentos legítimos de Word y Excel de Internet pueden generar malware de carga».

Los administradores también pueden utilizar las reglas de reducción de la superficie de ataque de Windows para evitar que JavaScript y VBscript inicien contenido descargado; es

La formación de concienciación del usuario sobre cómo inspeccionar una URL completa antes de descargar archivos para asegurarse de que coincida con la fuente (por ejemplo, Microsoft Teams debe provenir de un dominio de Microsoft) siempre es una buena idea.

  • 24 de marzo: Economía de divulgación de día cero: lo bueno, lo malo y lo feo (¡Obtenga más información y regístrese!)
  • 21 de abril: Mercados subterráneos: un recorrido por la economía oscura (¡Obtenga más información y regístrese!)

.

Recuerda compartir en tus redes sociales para que tus colegas opinen

??? ? ? ???

Comparte