Nuevo malware de Linux que explota más de 20 fallas de CMS en sitios de WP

Publicado: 2023-02-06

Ha surgido un nuevo malware de Linux que aprovecha las vulnerabilidades de seguridad dentro de los temas de WordPress y complementos de sitios web que se ejecutan en una plataforma Linux. Al ejecutar Javascript para atacar el código fuente del sitio web, el malware puede ayudar a los ciberdelincuentes a lanzar ataques DDoS, acceder a datos confidenciales y redirigir a los usuarios a sitios web maliciosos.

Este artículo proporcionará una descripción general completa de este nuevo malware de Linux, discutiendo cómo funciona, las fallas de CMS que se pueden explotar y qué se puede hacer para prevenir dicho ataque.

¿Qué es un ataque de malware de Linux?

Muchos de los entornos de nube actuales se basan en un sistema operativo Linux. Debido a esto, los ataques cibernéticos dirigidos directamente a servidores web que usan Linux van en aumento. Al infiltrarse con éxito en un entorno Linux, los ciberdelincuentes pueden acceder a una variedad de datos confidenciales, ejecutar malware y, potencialmente, causar daños a largo plazo en la infraestructura de TI.

Nuevo malware de Linux encontrado
Advertencia de malware de Linux

Desde 2020, los virus troyanos y el ransomware han sido las formas más comunes de ataques de malware basados ​​en Linux.

Las vulnerabilidades, como las últimas fallas del CMS de WordPress, han comprometido las redes. Otras vulnerabilidades incluyen la falta de autenticación en una red o una configuración incorrecta del servidor. Desafortunadamente, este tipo de ataques han tenido bastante éxito en los últimos años y se están volviendo más sofisticados y diversos, causando dolores de cabeza a los equipos de ciberseguridad.

Los tipos de ataques de malware de Linux

Hay muchas maneras diferentes en que un actor de amenazas puede ejecutar un ataque de malware. A continuación se muestran algunos de los tipos más comunes.

Malware que apunta a imágenes de VM

El malware mejora constantemente, encontrando nuevas vulnerabilidades a las que apuntan ataques impresionantemente pensados ​​por parte de ciberdelincuentes expertos. Uno de estos ataques implica apuntar a imágenes de máquinas virtuales (VM) que se utilizan para manejar cargas de trabajo.

Al hacerlo, los actores de amenazas pueden obtener acceso a valiosos recursos alojados en la nube, lo que les permite causar estragos.

criptojacking

El cryptojacking puede ser muy lucrativo para los ciberdelincuentes, ya que utilizan los recursos de TI de la víctima para generar criptomonedas. Incluso empresas globales como Tesla han sido víctimas de tal ataque.

El malware de cryptojacking explota los sistemas que carecen de seguridad avanzada, lo que permite a los piratas informáticos secuestrar sistemas y extraer criptografía a expensas de la víctima.

Ataques de Linux sin archivos

Usando la herramienta Ezuri de código abierto escrita por Golang, los piratas informáticos pueden cifrar malware, descifrarlo en una red violada y no dejar rastro en el disco del sistema. Esto permite que el malware pase por alto el software antivirus.

El grupo de ciberdelincuentes TeamTNT suele utilizar esta técnica. Para las grandes organizaciones, esto puede tener consecuencias extremas, infringiendo las normas de cumplimiento. La protección contra tales ataques puede contribuir en gran medida a garantizar el cumplimiento de PCI y el cumplimiento de otras pautas reglamentarias.

Explicación de cumplimiento de PCI
Explica el cumplimiento de PCI

Malware patrocinado por el estado

Los grupos de estados-nación están aumentando sus ataques a los entornos Linux, y esto es particularmente evidente en la guerra entre Rusia y Ucrania. El objetivo principal de estos ataques de malware es interrumpir las comunicaciones y destruir datos.

Cómo los sitios web de WP están siendo atacados por el nuevo malware de Linux

Una nueva cepa de malware de Linux que los expertos en seguridad cibernética no conocían anteriormente se ha dirigido a sitios web de WordPress, o más exactamente, a más de veinte complementos y temas.

El proveedor de seguridad ruso Doctor Web ha analizado esta nueva amenaza, destacando las posibles vulnerabilidades. Un representante de Doctor Web declaró en un informe reciente: “Si los sitios usan versiones desactualizadas de dichos complementos, que carecen de soluciones cruciales, las páginas web seleccionadas se inyectan con JavaScripts maliciosos. Como resultado, cuando los usuarios hacen clic en cualquier área de una página atacada, son redirigidos a otros sitios”.

Los ataques se dirigen a sitios web específicos con complementos y temas vulnerables para implementar malware. Esto ayuda a crear una red de sitios web (botnets) a los que los ciberdelincuentes tienen acceso remoto, lo que les permite realizar diversas actividades. JavaScript también se puede inyectar en un sistema recuperado por un servidor remoto, redirigiendo a los usuarios que acceden a un sitio web violado y enviándolos a un sitio web malicioso.

Otra versión de puerta trasera del ataque involucró un dominio de comando y control (C2) previamente desconocido, además de apuntar a más de 20 fallas de WordPress CMS.

En cualquier caso, el atacante utiliza un método de fuerza bruta para infiltrarse en las cuentas de administración de WordPress. Doctor Web agregó: "Si se implementa dicha opción en las versiones más nuevas de la puerta trasera, los ciberdelincuentes incluso podrán atacar con éxito algunos de esos sitios web que usan versiones actuales de complementos con vulnerabilidades parcheadas".

Más de 20 fallas de CMS que han sido explotadas

La lista de temas y complementos vulnerables que el malware de Linux ha explotado incluye:

  • Diseñador de blogs (< 1.8.12)
  • brillante
  • Próximamente y modo de mantenimiento (<= 5.1.0)
  • Deluces SEO
  • Sencillo WP SMTP (1.3.9)
  • Reproductor de vídeo FV Flowplayer
  • Híbrido
  • Chat en vivo con Messenger Customer Chat de Zotabox (< 1.4.9)
  • Códigos cortos ND (<= 5.8)
  • Periódico (CVE-2016-10972, 6.4 – 6.7.1)
  • un tono
  • Creador de encuestas, encuestas, formularios y cuestionarios de OpinionStage
  • Publicar plantillas personalizadas Lite (< 1.7)
  • Reseñas ricas
  • Campos simples
  • Smart Google Code Inserter (descontinuado a partir del 28 de enero de 2022, < 3.5)
  • Rastreador de métricas sociales
  • Thim Core
  • Donaciones totales (<= 2.0.5)
  • WooCommerce
  • Preguntas frecuentes de WordPress Ultimate (CVE-2019-17232 y CVE-2019-17233, 1.24.2)
  • WPeMatico RSS Feed Fetcher, y
  • Cumplimiento de WP GDPR (1.4.2)
  • Chat en vivo de WP (8.0.27)
  • Soporte de chat en vivo de WP
  • Integración WP-Matomo (WP-Piwik)
  • Administrador de reservas rápidas de WP
  • Editor de estilo visual CSS de lápiz amarillo (< 7.2.0)
  • Publicaciones relacionadas con Yuzo (5.12.89)

Ataques anteriores de malware de WordPress

La organización de investigación e inteligencia de amenazas Fortinet FortiGuard Labs reveló otra red de bots (un grupo de dispositivos conectados a Internet violados) conocida como GoTrim. Esta red se creó utilizando técnicas de fuerza bruta en sitios web alojados en sí mismos que utilizan el CMS de WordPress, lo que les otorga un control total del sistema.

Sucuri, una plataforma de seguridad y protección de sitios web propiedad de GoDaddy, identificó más de 15 000 sitios web de WordPress violados a fines de 2022. Esto fue parte de una campaña general de malware destinada a redirigir a los visitantes del sitio web a portales de preguntas y respuestas controlados por ciberdelincuentes. En enero de 2023, más de 9000 de estos sitios web seguían infectados.

En el verano de 2022, Sucuri también publicó un informe que detallaba un sistema de dirección de tráfico (TDS) denominado "Parrot" que apuntaba a sitios web de WordPress usando malware basado en JavaScript.

Cómo prevenir ataques de malware de Linux

Para evitar tal ataque, se recomienda a todos los usuarios de WordPress que actualicen todos los componentes de sus sitios web, incluidos los complementos y temas de terceros. Como práctica recomendada, los usuarios también deben usar contraseñas seguras y detalles de inicio de sesión únicos para cada usuario para aumentar la seguridad.

Los propietarios de sitios web también deben realizar copias de seguridad periódicas de sus datos, lo que reduce la posibilidad de ser víctima de un ataque de ransomware, mientras que también se recomienda instalar complementos de seguridad premium actualizados periódicamente.

Terminando

Este ataque recientemente identificado se dirige a más de 20 complementos y temas de WordPress alojados en un entorno Linux, lo que permite a los ciberdelincuentes ejecutar malware. Muchos de estos ataques implican redirigir a los visitantes del sitio web a sitios web falsos, mientras que otros ayudan a los piratas informáticos a desarrollar botnets que pueden usarse para una variedad de delitos.

Los usuarios de WordPress pueden evitar este tipo de ataques manteniendo todos los complementos y temas actualizados y utilizando credenciales de inicio de sesión sólidas. La mayoría de los sitios web que han sido víctimas de ataques de malware tienen un mantenimiento deficiente, tienen mínima seguridad instalada y usan contraseñas débiles.