En su Informe de tendencias de hackeo de sitios web, la compañía de seguridad web Sucuri observó que las infecciones de WordPress aumentaron a 90 por ciento en 2018. Un aspecto de las infecciones del Sistema de gestión de contenido (CMS) que a veces se pasa por alto es que los atacantes no solo persiguen a los propios CMS: WordPress, Drupal , etc., pero también complementos y temas de terceros.
Si bien los complementos son útiles para proporcionar funciones adicionales para sitios web administrados por CMS, también aumentan la superficie de ataque. No todos los complementos se mantienen o protegen regularmente, y algunos incluso son abandonados por sus desarrolladores, dejando atrás errores que nunca se solucionarán.
En los últimos meses, hemos notado que los actores de amenazas aprovechan varias vulnerabilidades de complementos de alto perfil para redirigir el tráfico hacia varios esquemas de monetización, dependiendo de la geolocalización de un visitante y otras propiedades. La vulnerabilidad del complemento de cumplimiento GDPR de WordPress y las vulnerabilidades más recientes de Easy WP STMP y Social Warfare son algunos ejemplos de ataques oportunistas rápidamente adoptados en la naturaleza.
Infraestructura de redireccionamiento
Los sitios web pirateados se pueden monetizar de diferentes maneras, pero uno de los más populares es secuestrar el tráfico y redirigir a los visitantes hacia estafas y ataques.
Comenzamos a ver la última campaña de inyección siguiendo las notas del blog de Sucuri sobre el XSS almacenado de día cero de Social Warfare . De acuerdo con los datos de registro, la explotación automatizada intenta cargar contenido de una pasta de Pastebin , que se puede ver a continuación. El código ofuscado revela uno de los dominios utilizados por los actores de amenazas:
Fragmento de código de Pastebin utilizado en ataques automatizados contra complementos vulnerables
Nuestros rastreadores identificaron un esquema de redireccionamiento a través de la misma infraestructura relacionada con estos hacks de complementos recientes. A los sitios web comprometidos se les inyecta un código muy ofuscado que decodifica setforconfigplease [.] Com (el mismo dominio que se encuentra en el código de Pastebin).
Código ofuscado inyectado en sitio pirateado
La primera capa de redireccionamiento va a los dominios alojados en 176.123.9 [.] 52 y 176.123.9 [.] 53 que realizarán la segunda redirección a través de un dominio .tk. Denis de Sucuri ha rastreado la evolución y rotación de estos dominios durante los últimos días.
Denis@unmaskparasitesNew domain used in the «Easy WP SMTP» and «Social Warfare» (and some other) attacks — redrentalservice[.]com — registered 2019-03-21. Replacement for setforconfigplease[.]com (registered on March 4). https://blog.sucuri.net/2019/03/0day-vulnerability-in-easy-wp-smtp-affects-thousands-of-sites.html … and https://blog.sucuri.net/2019/03/zero-day-stored-xss-in-social-warfare.html …
Zero-Day Stored XSS in Social Warfare
A zero-day vulnerability has just appeared in the WordPress plugin world, affecting over 70,000 sites using the Social Warfare plugin. The plugin is vulnerable to a Stored XSS (Cross-Site Scripting)…
blog.sucuri.net
Basados en nuestra telemetría, la mayoría de los usuarios redirigidos en esta campaña son de Brasil, seguidos por los Estados Unidos y Francia:
Top detecciones basadas en el país de origen de los visitantes.
Estafas, publicidad maliciosa, y más.
El objetivo de esta campaña (y otros similares) es la monetización del tráfico. A los actores de amenazas se les paga para redirigir el tráfico de sitios comprometidos a una variedad de estafas y otros esquemas de generación de ganancias. En los últimos meses, hemos estado siguiendo esta campaña de redirección activa que involucra la misma infraestructura descrita anteriormente.
Hacer un seguimiento de cualquier amenaza en curso da una idea del libro de jugadas del actor de la amenaza, ya sea que los cambios sean grandes o pequeños. El código puede ir a través de iteraciones, desde texto claro a ofuscado, o tal vez puede contener nuevas características.
Si bien hay literalmente docenas de cargas útiles finales basadas en la geolocalización y el tipo de navegador entregados en esta campaña, nos centramos en algunas de las más populares que las personas pueden encontrar. Al secuestrar el tráfico de miles de sitios web pirateados, los ladrones toman las huellas dactilares y redirigen a sus víctimas mientras intentan evitar ser bloqueados.
Redirecciones de tráfico por tipo de carga útil
Armarios de navegador y estafas de soporte técnico
Históricamente, hemos visto esta sub campaña como uno de los principales proveedores de armarios de navegador, utilizados por estafadores de soporte técnico. Los nuevos dominios con el .tk TLD se generan cada pocos minutos para que actúen como redirectores a los candados. En octubre de 2018, Sucuri mencionó esta campaña activa que abusaba de los viejos temas tagDiv y las versiones sin parches del complemento Smart Google Code Inserter.
Los armarios de los navegadores siguen siendo una herramienta popular de ingeniería social para asustar a las personas y hacerles pensar que sus computadoras están infectadas y cerradas. Si bien no hay malware real involucrado, hay partes inteligentes de JavaScript que han provocado dolores de cabeza a los proveedores de navegadores. El «cursor malvado» es uno de esos trucos que impide que los usuarios cierren una pestaña o ventana del navegador, y recientemente se ha corregido .
Browlock instando a las víctimas a llamar al soporte falso de Microsoft
Fraude publicitario y clickjacking
Un caso particular que documentamos se refiere a fraude de anuncios a través de sitios de señuelos que parecen blogs para mostrar anuncios de Google. Este esquema fraudulento se expuso en agosto y muestra cómo el tráfico de sitios pirateados puede generar $ 20,000 en ingresos publicitarios por mes.
Sin embargo, en un giro implementado poco después, los estafadores engañaron a los usuarios que intentaron cerrar el anuncio y secuestraron su mouse para hacer clic en el anuncio. De hecho, a medida que mueve el cursor del mouse hacia la X, el banner del anuncio se desplaza hacia arriba y en lugar de cerrar el anuncio, su clic lo abre.
Los delincuentes utilizan el código CSS que se adjunta dinámicamente a la página que monitorea el cursor del mouse y reacciona cuando aparece sobre la X. El tiempo es importante para capturar el clic unos pocos milisegundos más tarde cuando el banner del anuncio está enfocado. Estos trucos del lado del cliente se implementan para maximizar las ganancias de los anuncios, ya que los ingresos generados por los clics de anuncios son mucho más altos.
Código CSS responsable del fraude de clics.
Malvertising y pop-ups
No hay un límite para la cantidad de esquemas de publicidad maliciosa que los delincuentes pueden implementar. Uno especialmente astuto es abusar de las notificaciones push de Chrome, una característica que es el sueño de un publicista deshonesto . Esto permite que los sitios web muestren notificaciones en la esquina inferior derecha de su pantalla, incluso cuando no esté navegando por el sitio en cuestión. Esos pop-ups tienden a ser optimizadores de PC de aceite de serpiente y webcams o solicitudes para adultos.
Reproductor de video falso engañando a los usuarios para que acepten notificaciones
Formadores de raspadores y skimmers.
Durante un breve período de tiempo, vimos la adición de un raspador de JavaScript y lo que parecía ser un skimmer rudimentario en algunas cadenas de tráfico. No está claro cuál era el propósito, a menos que fuera algún tipo de experimento junto con los redireccionamientos .tk regulares.
Los skimmers se encuentran más comúnmente en los sitios de comercio electrónico, en particular aquellos que ejecutan el CMS de Magento. Probablemente sean la forma más lucrativa de monetizar un sitio pirateado, a menos que, por supuesto, no haya datos de usuario para robar, en cuyo caso las redirecciones maliciosas son las segundas mejores.
Formador de raspador y skimmer identificado en infraestructura de redireccionamiento.
Tráfico del sitio web como una mercancía
La seguridad del sitio web es similar a la seguridad informática, ya que los propietarios del sitio también están expuestos a ataques de día cero y siempre deben realizar parches. Sin embargo, sin la protección proactiva (es decir, el firewall de la aplicación web) y los propietarios de sitios que no implementan sus actualizaciones de seguridad de manera oportuna, los días cero pueden ser increíblemente efectivos.
Cuando se descubren vulnerabilidades críticas, puede ser una cuestión de horas antes de que se observe la explotación en la naturaleza. Los sitios web comprometidos se convierten en un producto básico para diversos esquemas de monetización, que a su vez alimenta la compra y venta de tráfico malicioso.
Los usuarios de Malwarebytes están protegidos contra estas estafas, gracias a nuestras capacidades de bloqueo web. Para una protección adicional con los armarios del navegador, las extensiones forzadas y otras estafas, recomendamos nuestra extensión del navegador.
Indicadores de compromiso (COI)
176.123.9 [.] 52
redrentalservice [.] com
setforconfigplease [.] com
somelandingpage [.] com
setforspecialdomain [.] com
getmyconfigplease [.] com
getmyfreetraffic [.] com
176.123.9 [.] 53
verybeatifulpear [.] com
thebiggestfavoritemake [.] com
stopenumarationsz [.] com
strangefullthiggngs [.] com
simpleoneline [.] en línea
lastdaysonlines [.] com
cdnwebsiteforyou [.] biz
Sobre el autor