MALWARE EN LINUX USA EXPLOITS EN SITIOS DE WORDPRESS

31/12/2022

BOLETÍN NRO 2022-761

Recientemente un malware para Linux desconocido hasta ahora ha estado aprovechando 30 vulnerabilidades en múltiples plugins y temas de WordPress obsoletos para inyectar JavaScript malicioso.

Servicios Afectados

• Sistemas operativos Linux

Detalles Tecnicos

CVE: CVE-2016-10972,CVE-2019-17232,CVE-2019-17233                                    Severidad:   ALTA

Según un informe de un proveedor de antivirus, el malware se dirige tanto a sistemas Linux de 32 bits como de 64 bits y ofrece al atacante capacidades de control remoto.

La principal funcionalidad del troyano consiste en vulnerar sitios de WordPress mediante un conjunto de exploits codificados que se ejecutan sucesivamente, hasta que uno de ellos funciona.

Los plugins y temas atacados son los siguientes:

• WP Live Chat Support Plugin.

• WordPress – Yuzo Related Posts.

• Yellow Pencil Visual Theme Customizer Plugin.

• Easysmtp.

• WP GDPR Compliance Plugin.

• Newspaper Theme on WordPress Access Control (CVE-2016-10972).

• Thim Core.

• Google Code Inserter.

• Total Donations Plugin.

• Post Custom Templates Lite.

• WP Quick Booking Manager.

• Faceboor Live Chat by Zotabox.

• Blog Designer WordPress Plugin.

• WordPress Ultimate FAQ (CVE-2019-17232 y CVE-2019-17233).

• WP-Matomo Integration (WP-Piwik).

• WordPress ND Shortcodes For Visual Composer.

• WP Live Chat.

• Coming Soon Page and Maintenance Mode.

• Hybrid.

Si el sitio web objetivo ejecuta una versión obsoleta y vulnerable de cualquiera de ellos, el malware obtiene automáticamente JavaScript malicioso de su servidor de comando y control (C2) e inyecta el script en el sitio web.

Las páginas infectadas actúan como redireccionadores a una ubicación elegida por el atacante, por lo que el esquema funciona mejor en sitios abandonados.

Estas redirecciones pueden servir en campañas de phishing, distribución de malware y malvertising para ayudar a evadir la detección y el bloqueo. Dicho esto, los operadores del auto-inyector podrían estar vendiendo sus servicios a otros ciberdelincuentes.

También menciona que las variantes contienen funcionalidades que actualmente están inactivas, lo que permitiría realizar ataques de fuerza bruta contra cuentas de administradores de sitios web, si estas llegaran a activarse.

Indicadores de Compromiso

IP

193[.]37[.]213[.]197

45[.]9[.]148[.]48

198[.]24[.]166[.]222

109[.]234[.]38[.]69

Dominio

transadforward[.]icu

tommyforgreendream[.]icu

letsmakeparty3[.]ga

gabriellalovecats[.]com

URL

hxxp[:]//gabriellalovecats[.]com/lone[.]js?zoneid=8965432&utm_c=4&mro=

Hash

MD5: ef2d419bb53140331ba94feaa5dfdbb2

SHA-256: c7c26bf1e2074cf76b67f29489eb71e3a143c2b3bf867d06c3a30905e12aef8f

MD5: e1150e2c87e599fc186439c2d37208ed

SHA-256: fd3a902c16d01cd926ae97afaa26d520c45eec95c5097edf82f2a98d8f8c310f

MD5: d9b0e606f8db4d0f005c3acb3dc5b957

SHA-256: 973be4d2cf1245fd27a6fdd18382398632d836a8a10725e939aab8e7ca12f4df

MD5: d53114f400095cc0b936cad419553f27

SHA-256: f618a9e30c9b78c3e9c63abacbc795182382237134ca5eca8f270180a1ccca4c

MD5: bcd6e6cdcbbd93cd9e24e8b2d7ebf81e

SHA-256: 8190aefa69c26c5b4c238773e007329ceb88de346fc319123e37b1f87d6c08c0

MD5: a2d186146f52c26bef91089c9eabea2d

SHA-256: a948369563cdabdd53745b6e398f2f608fce10f581a8af75d0b00939494092ae

MD5: 82c840221132f60d566b01a2df5f649b

SHA-256: c2dd9f998ca023047ce598a4d818b3df7c638ba179bb2f81d4ac0c8c0bd8d291

MD5: 81329a17c3bed3c01751896cb2f8d297

SHA-256: ac636d56a2d4deddcba32c860dbf047575880edc149d1d12065ac881126cb8dc

MD5: 7feb2da40177cdf44a13a0efd9b8262a

SHA-256: ab26a6c846c2cf9b14028bd46229d5ab0e87b30317d9b984f791ca8b07a3e73d

MD5: 7821144982b6c9564f4d2ca990b928b4

SHA-256: 7ab779b39a7ff2a8e4e4957e91be885e3b193959ff19f7d57f7befd8e6ce39b4

MD5: 71994a6855aebd311257fd7c98ab6933

SHA-256: 445ed5d79c43b0694499063d5dfdba08c8df4486f936d2bc1d309d08ce1435a5

MD5: 63e05b1537fb6d78f9bfe3f2360cee39

SHA-256: ee9aba246552f22b89a08c7a576a9985f83a6db534f1be513a976317c90c712a

MD5: 5e68e0cc5e45587de84bc2c82bcfcdf2

SHA-256: 396d35154d706ab8919421ac534884e87731dc0d1291ac74ee5ef71ceec51e69

MD5: 4d83619142c7f7e3bd1531f8111e2655

SHA-256: 002e2712d04de8ef843e2f9974707c5eb4d050f9fc2177cf4432cdf3717ce0ca

MD5: 3ea5fc202781b6c2cfaa11a103c67bcf

SHA-256: 5550200c4087390971167379104bd56c60aeda620b6ba4314c4e551ec8ff914b

MD5: 3968376d6f92cb6ed631df83b3fbae9c

SHA-256: fc469a36b01241efc40b32950329b139b7ae2ef455f5d56f76eac1db9afe82c3

MD5: 0ac6845aa9623f64ba9800ff929a5c97

SHA-256: c2c91c021a048eea97147add486b7618304803d63989d2c2fdab87741ca8803b

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: New Linux malware uses 30 plugin exploits to backdoor WordPress sites
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​