Han conseguido comprometer 5.000 servidores con un script malicioso en PHP que ha sumado ordenadores para llevar a cabo campañas de spam a escala, las cuales van redirigiendo a los usuarios hacia páginas web sobre presuntas píldoras para potenciar dietas y mejorar la inteligencia.

La misión del script es mantener hackeados los servidores en los que es introducido para mantenerlos bajo el control del grupo de cibercriminales tras las potentes campañas de spam, que consisten en redirigir a los usuarios finales hacia las web creadas y controladas por los primeros. Las campañas de spam han sido impulsadas mediante una botnet llamada «Brain Food», detectada en marzo de 2017, aunque las operaciones no fueron analizadas hasta la semana pasada por el investigador Andew Conway, de Proofpoint.

El investigador dice que los operadores de la botnet comprometen los sitios web y dejan ahí el script PHP malicioso para ejecutar código bajo demanda, aunque su principal función es la de actuar como punto de redireccionamiento para llevar a cabo la campaña de spam. Los administradores de Brain Food operan mediante el envío de email de spam a las víctimas que contiene enlaces hacia los scripts PHP maliciosos implantados en varios sitios hackeados. En caso de que una víctima pique y haga clic sobre el enlace, esta es redirigida a otra web sobre presuntas píldoras para potenciar dietas o la inteligencia, las cuales la mayoría de las veces son presentadas bajo marcas falsas.

Los scripts de PHP pueden recibir y aplicar nuevas direcciones de redireccionamiento suministradas por los operadores. Además, también recolectaban información sobre las campañas de spam llevadas a cabo. El script malicioso fue descubierto en unos 5.000 servidores, la mayoría de estos pertenecientes a la red de GoDaddy, con más de 2.400 activos durante la última semana. Es importante tener en cuenta que, al menos aparentemente, los cibercriminales no están explotando vulnerabilidades de CMS concretos, ya que se ha detectado una gran variedad de gestores de contenidos entre los sitios web afectados.

El código del script es polimórfico y está ofuscado con múltiples capas de cifrado base64. También incluye protección contra la indexación automática por parte de Google, respondiendo al rastreador del buscador con un código 404, que indica que la página web no ha sido encontrada. Al estar construida con una tecnología que trabaja a nivel del servidor, el script no resulta peligroso para los usuarios finales, que solo tienen que preocuparse de las campañas de spam, pero sí lo es para los sitios web afectados, ya que permite a los atacantes utilizar una capacidad de tipo backdoor para ejecutar código arbitrario sobre los servidores.

Fuente: Segu-info.com.ar

Compartir