Más de 1.000 sitios web que funcionan con WordPress han sido infectados con un código JavaScript de terceros que inyecta cuatro puertas traseras independientes.
«La creación de cuatro puertas traseras facilita que los atacantes tengan múltiples puntos de reingreso en caso de que se detecte y elimine una», dijo el investigador de c/side Himanshu Anand en un análisis del miércoles.
Se ha descubierto que el código JavaScript malicioso se distribuye a través de cdn.csyndication[.]com. En el momento de redactar este artículo, 908 sitios web contienen referencias al dominio en cuestión.
A continuación se explican las funciones de las cuatro puertas traseras:
- Backdoor 1, que carga e instala un complemento falso llamado «Ultra SEO Processor», que luego se utiliza para ejecutar comandos emitidos por el atacante
- Backdoor 2, que inyecta JavaScript malicioso en wp-config.php
- Backdoor 3, que agrega una clave SSH controlada por el atacante al archivo ~/.ssh/authorized_keys para permitir el acceso remoto persistente a la máquina
- Backdoor 4, que está diseñado para ejecutar comandos remotos y obtiene otra carga útil de gsocket[.]io para probablemente abrir un shell inverso
Para mitigar el riesgo que plantean los ataques, se recomienda que los usuarios eliminen las claves SSH no autorizadas, roten las credenciales de administrador de WordPress y monitoreen los registros del sistema para detectar actividades sospechosas.
El desarrollo se produce cuando la empresa de ciberseguridad detalló que otra campaña de malware ha comprometido más de 35.000 sitios web con JavaScript malicioso que «secuestra completamente la ventana del navegador del usuario» para redirigir a los visitantes del sitio a plataformas de juego en idioma chino.
«El ataque parece tener como objetivo o tener su origen en regiones donde el mandarín es común, y las páginas de destino finales presentan contenido de juegos de azar bajo la marca ‘Kaiyun’.
Las redirecciones se producen a través de JavaScript alojado en cinco dominios diferentes, que sirve como cargador para la carga útil principal responsable de realizar las redirecciones.
- mlbetjs[.]com
- ptfafajs[.]com
- zuizhongjs[.]com
- jbwzzzjs[.]com
- jpbkte[.]com
Los hallazgos también surgen de un nuevo informe de Group-IB sobre un actor de amenazas llamado ScreamedJungle que inyecta un código JavaScript con el nombre en código Bablosoft JS en sitios web de Magento comprometidos para recopilar huellas dactilares de los usuarios que los visitan. Se cree que más de 115 sitios de comercio electrónico se han visto afectados hasta la fecha.
El script inyectado es «parte de la suite Bablosoft BrowserAutomationStudio (BAS)», dijo la compañía de Singapur , y agregó que «contiene varias otras funciones para recopilar información sobre el sistema y el navegador de los usuarios que visitan el sitio web comprometido».
Se dice que los atacantes están explotando vulnerabilidades conocidas que afectan a las versiones vulnerables de Magento (por ejemplo, CVE-2024-34102 , también conocida como CosmicSting y CVE-2024-20720) para vulnerar los sitios web. El actor de amenazas con motivaciones económicas fue descubierto por primera vez a fines de mayo de 2024.
«La identificación de navegadores es una técnica poderosa que los sitios web suelen utilizar para rastrear las actividades de los usuarios y diseñar estrategias de marketing personalizadas», afirmó Group-IB. «Sin embargo, los cibercriminales también aprovechan esta información para imitar el comportamiento legítimo de los usuarios, evadir las medidas de seguridad y llevar a cabo actividades fraudulentas».
Fuente y redacción: thehackernews.com
