Miles de sitios comprometidos de WordPress, Joomla y SquareSpace entregan activamente malware disfrazado de actualizaciones de Firefox, Chrome y Flash Player para los visitantes.
Esta campaña ha estado en marcha desde al menos diciembre de 2017 y está cobrando impulso. Los actores malintencionados inyectan JavaScript que activa las solicitudes de descarga en archivos JavaScript en los sistemas de administración de contenido o directamente en la página de inicio de los sitios.
Mantén el esfuerzo bajo
Los vendedores ambulantes de malware utilizan una variedad de técnicas para mantener sus esfuerzos menos visibles:
-
Ocultan scripts maliciosos y enlaces a malware para dificultar mucho el análisis estático y ocultan algunas huellas dactilares cruciales diseñadas para evadir máquinas virtuales y sandboxes.
- El malware entregado, el malware bancario Chtonic o la herramienta de acceso remoto NetSupport, está firmado digitalmente y utiliza varias técnicas de evasión para derrotar a los sandboxes.
- Los scripts maliciosos redirigen a los visitantes a las páginas de descarga de plantillas según el sistema y el navegador que estén utilizando, y solo lo hacen una vez por dirección IP para minimizar la posibilidad de que los visitantes habituales sospechen.
- Las páginas de señuelo se alojan en hosts comprometidos a través de subdominios que utilizan URI con una vida útil muy corta.
“Esta campaña se basa en un mecanismo de entrega que aprovecha la ingeniería social y abusa de un servicio de alojamiento de archivos legítimo. El archivo ‘cebo’ consiste en un script en lugar de un ejecutable malicioso, lo que brinda a los atacantes la flexibilidad de desarrollar interesantes técnicas de ofuscación y huellas dactilares», explicó el analista de malware Jerome Segura.
«Se abusó de los sitios web comprometidos no solo para redirigir a los usuarios, sino también para alojar actualizaciones falsas del sistema, lo que convirtió a sus propietarios en participantes involuntarios de una campaña de malware».
¿Qué tan grande es la campaña?
Según las estimaciones de Malwarebytes, miles de sitios de WordPress y Joomla y poco más de 900 sitios de SquareSpace han sido inyectados con scripts maliciosos.
“Esta campaña afecta a múltiples sistemas de administración de contenido (CMS) de manera bastante similar”, señaló el analista de malware Jérôme Segura.
«Varios de los sitios web que revisamos estaban desactualizados y, por lo tanto, eran vulnerables a la inyección de código malicioso. Es posible que los atacantes usaran las mismas técnicas para construir su inventario de sitios comprometidos, pero no tenemos suficiente información para confirmar esta teoría».
Los propietarios y administradores de sitios web que utilizan estos CMS harían bien en verificar sus sitios en busca de compromisos y limpiarlos si los encuentran, luego actualizar el CMS y cualquier complemento que usen a sus últimas versiones, y mantenerlos actualizados regularmente. Además, deben revisar su procedimiento de autenticación y hacer todo lo posible para que sea más resistente al compromiso (por ejemplo, no use contraseñas fáciles de adivinar o de fuerza bruta).
Por lo general, los usuarios de Internet deben evitar descargar e instalar actualizaciones de software que no hayan solicitado ellos mismos.
