GoTrim, un nuevo malware botnet basado en Go, escanea la Internet en busca de sitios web de WordPress e intenta forzar la contraseña del administrador y tomar el control del sitio.
El compromiso implica riesgos potenciales de seguridad, incluyendo el despliegue de malware y la inyección de scripts que roban información de tarjetas de crédito, pudiendo afectar a millones de personas, dependiendo de la popularidad de los sitios vulnerados.
GoTrim se dirige a los sitios de WordPress
La campaña de malware GoTrim se observó por primera vez en septiembre de 2022 y aún continúa. La red de bots es conocida en el mundo de la ciberdelincuencia, pero tras un análisis exhaustivo, los investigadores de Fortinet informaron de que el malware aún está en fase de desarrollo.
Los operadores de GoTrim alimentan la red de botnets con sitios web objetivo y un conjunto específico de credenciales. A continuación, el malware se conecta a cada sitio e intenta forzar las cuentas de administrador utilizando la información proporcionada.
Una vez que un sitio web es violado, GoTrim inicia sesión en el sitio e informa de la infección a su servidor C2. El ID del bot se genera automáticamente utilizando hashing MD5. Después de esto, el malware utiliza scripts PHP para obtener clientes bot GoTrim desde una URL codificada y elimina tanto el script como el componente de fuerza bruta del sistema infectado.
Cómo opera
La botnet funciona en modo "cliente" y "servidor".
En modo servidor, el malware inicia una conexión con el C2 de la botnet. Mientras tanto, en modo cliente, inicia un servidor HTTP y espera peticiones del C2. Sin embargo, si el endpoint infectado está conectado directamente a Internet, GoTrim pasa por defecto al modo servidor.
GoTrim envía peticiones de baliza al C2 cada par de minutos. Continuará enviándolas hasta que reciba una respuesta, y si no hay respuesta después de 100 intentos, el proceso terminará.
El C2 puede enviar comandos cifrados al bot GoTrim, como:
- Validar las credenciales proporcionadas frente a dominios de WordPress
- Validar las credenciales proporcionadas frente a dominios Joomla (no implementado)
- Validación de las credenciales proporcionadas para dominios OpenCart
- Validar las credenciales proporcionadas frente a dominios Data Life Engine (no implementado)
- Detectar la instalación de WordPress, Joomla, OpenCart o Data Life Engine CMS en el dominio.
- Terminar el malware
Evitar la detección
Para evitar ser detectado por el equipo de seguridad de WordPress, GoTrim no se dirige a sitios alojados en Wordpress.com y, en su lugar, sólo se dirige a sitios autoalojados.
Para ello, comprueba el encabezado HTTP "Referer" en busca de "wordpress.com" y, si lo detecta, deja de atacar el sitio.
"Dado que los proveedores de alojamiento gestionado de WordPress, como wordpress.com, suelen aplicar más medidas de seguridad para supervisar, detectar y bloquear los intentos de fuerza bruta que los sitios web de WordPress autoalojados, las probabilidades de éxito no compensan el riesgo de ser descubierto", explican los investigadores.
Además, GoTrim imita las solicitudes legítimas de Firefox en Windows de 64 bits para eludir las protecciones anti-bot.
Por último, si el sitio de WordPress objetivo utiliza un plugin CAPTCHA para detener bots, el malware lo detecta y carga el solucionador correspondiente. Actualmente, es compatible con siete plugins populares.
Fortinet también dijo que la red de bots GoTrim evita los sitios alojados en "1gb.ru", pero no pudo determinar las razones exactas para hacerlo.
Para mitigar la amenaza de GoTrim, los propietarios de sitios WordPress deben utilizar contraseñas de administrador seguras y difíciles de forzar o utilizar un complemento 2FA.
Por último, los administradores de WordPress deben actualizar el software CMS de base y todos los plugins activos en el sitio a la última versión disponible, que aborda las vulnerabilidades conocidas que los hackers pueden aprovechar para el compromiso inicial.
Fuente: bleepingcomputer