Búsca en Seguridad y Firewall


Atacan sitios wordpress para secuestrar y aprovechar el ranking del portal.-

Diego Cortes Robles miércoles, noviembre 25, 2020Compartir:


Se está llevando a cabo una nueva campaña maliciosa dirigida a los sitios de WordPress, en la que los atacantes están configurando sus propias tiendas de comercio electrónico sobre sitios web comprometidos con el objetivo de abusar de los rankings de búsqueda del sitio original.

El ataque fue detallado por Larry Cashdollar, un investigador de seguridad de Akamai, quien notó una infección de malware donde un actor malintencionado agregó un escaparate encima de su honeypot de WordPress. Los atacantes utilizaron la fuerza bruta para obtener acceso a la cuenta de administrador del sitio, luego sobrescribieron el archivo de índice del sitio agregando su código malicioso. El propósito del malware era redirigir el tráfico del sitio a un servidor de comando y control administrado por los atacantes.

Según Cashdollar, el ataque involucra las siguientes etapas:

  • 1. Solicite del navegador del usuario web el sitio de WordPress infectado
  • 2. El malware reenvía la solicitud al servidor de comando y control
  • 3. Si la solicitud es válida, devuelva "okhtmlgetcontent" con el HTML del sitio de comercio electrónico.
  • 4. Transmitir HTML recibido de C2 al navegador del usuario web

El investigador dijo que los atacantes también generaron mapas de sitio XML para los sitios de WordPress pirateados que contenían entradas para las tiendas en línea falsas junto con las páginas auténticas del sitio. Los atacantes generaron los mapas del sitio, los enviaron al motor de búsqueda de Google y luego eliminaron el mapa del sitio para evitar ser detectados.

“El malware crea mapas del sitio para que Google los indexe sobre la marcha, por lo que el archivo del mapa del sitio no se escribe en el disco. Mi infección de honeypot, por lo que pude ver, albergaba más de 7.000 sitios web de comercio electrónico. Había seis mapas de sitio diferentes, todos almacenados en robots.txt que fue generado por el malware después de la infección ”, señaló Cashdollar.

El investigador cree que los ciberdelincuentes podrían usar ataques como el que descubrió para esquemas de envenenamiento de SEO, donde los atacantes manipulan los resultados de optimización de motores de búsqueda (SEO) para las empresas y luego exigen un rescate para dejar de interferir con el perfil en línea del objetivo.

“Aunque no es concluyente, el malware como el que golpeó mi honeypot podría usarse para este tipo de ataques. Esto los convierte en un ataque de barrera baja para que lo realicen los delincuentes, ya que solo necesitan unos pocos hosts comprometidos para comenzar. Dado que hay cientos de miles de instalaciones de WordPress abandonadas en línea, y millones más con complementos obsoletos o credenciales débiles, el grupo de víctimas potenciales es enorme. En resumen, este ataque demuestra que si puede modificar algo sin autenticación, se abusará de él ”, advirtió Cashdollar.

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!