Tras la publicación de dos graves fallos de seguridad en el CMS de Drupal, los grupos de ciberdelincuentes han recurrido a esta tecnología web con la esperanza de encontrar un nuevo terreno para sembrar malware en los servidores y ganar dinero con la minería ilegal de criptomonedas.
Sus esfuerzos y expectativas fueron plenamente recompensados, ya que las dos vulnerabilidades, CVE-2018-7600 y CVE-2018-7602, dejaron a más de un millón de sitios web vulnerables a ataques si no recibían actualizaciones inmediatas.
Algunos webmasters actualizaron sus sitios, pero muchos no lo hicieron, y estos sitios web rápidamente fueron víctimas de puertas traseras y mineros poco después de que se lanzara el código de ataque de prueba de concepto.
Ahora, con el tiempo, están surgiendo más y más campañas de malware dirigidas a sitios de Drupal, y dos de ellas fueron detectadas la semana pasada.
Más de 350 sitios de Drupal que ejecutan un minero en el navegador
La más reciente de estas campañas fue descubierta por el investigador de seguridad estadounidense Troy Mursch.
El investigador descubrió un grupo que obtuvo acceso a los sitios de Drupal y ocultó una versión del minero de criptomonedas en el navegador Coinhive en un archivo llamado «jquery.once.js?v=1.2«, cargado en cada uno de los sitios comprometidos.
Mursch primero localizó los archivos infectados en más de 100 000 dominios, luego redujo los resultados a 80 000 dominios y finalmente confirmó la infección en al menos 350 sitios donde la operación de minería del navegador se estaba llevando a cabo.
Entre las víctimas se encuentran muchos portales gubernamentales y académicos, como la Junta Nacional de Relaciones Laborales (una agencia federal de EE. UU.), la Autoridad Tributaria de Turquía, la Universidad de Alepo y otros, que Mursch registró en una hoja de cálculo de Google Docs. Pero seguramente el nombre más importante en la lista es el fabricante de hardware chino Lenovo, que Mursch agregó en una actualización luego de la publicación inicial de su investigación.
La campaña de malware ‘Kitty’ llega a los sitios de Drupal
Pero antes del descubrimiento de Mursch, la firma de seguridad cibernética Imperva también encontró otra operación maliciosa dirigida a los sitios de Drupal, a la que denominó campaña «Kitty» porque los delincuentes escondieron un minero de criptomonedas en el navegador en un archivo llamado «me0w.js.»
Los delincuentes no usaron una versión del minero Coinhive en el navegador para estos ataques, sino que usaron un producto similar provisto por el servicio legítimo de grupo de minería Monero webminerpool.com.
El equipo de Imperva no compartió la cantidad de sitios afectados por esta campaña, pero dijo que los estafadores no se limitan a eliminar solo a un menor en el navegador.
También instalaron una puerta trasera basada en PHP en todos los servidores comprometidos, para acceso futuro, incluso si el propietario del servidor actualizó su sitio, y un minero de monedas clásico que usaba los recursos del servidor subyacente para minar Monero, en lugar de los navegadores de los usuarios.
Imperva dice que la dirección de Monero utilizada en la campaña de Kitty también fue detectada a principios de abril en otra serie de ataques dirigidos a servidores que ejecutan foros de vBulletin 4.2.x.
«La primera generación de malware ‘Kitty’ que descubrimos fue la versión 1.5, y la última versión es la 1.6», dijo Imperva en un informe publicado la semana pasada. «Este tipo de comportamiento puede ser una indicación de un atacante organizado, que desarrolla su malware como un producto de software, corrige errores y lanza nuevas funciones en ciclos».
Los errores de Drupal revelados en los últimos dos meses han recibido mucha atención de los medios, y por una buena razón, ya que permiten que un atacante acceda fácilmente a sitios vulnerables. Si bien las campañas continúan, es importante recordar que actualizar un sitio pirateado no es suficiente. Los propietarios del sitio también deben buscar puertas traseras y considerar restaurar desde una copia de seguridad anterior o reinstalar el sitio desde cero.
Artículo actualizado para incluir que el sitio web de Lenovo también se vio comprometido en la campaña observada por Mursch.