- La vulnerabilidad del complemento UpdraftPlus en el servidor de marketing de Awesome Motive permitió el compromiso de CDN y la inyección maliciosa de JavaScript
- El malware se dirigió a los administradores de WordPress que iniciaban sesión, recolectando tokens y creando cuentas fraudulentas para una adquisición completa.
- A los propietarios del sitio se les solicitan cuentas de administrador falsas (‘developer_api1’, ‘dev_xxxxxx’), complementos de puerta trasera ocultos y certificados rotativos/sales de seguridad.
Después de que una vulnerabilidad de un complemento permitiera un ataque a la cadena de suministro a gran escala, más de un millón de sitios web de WordPress corrieron el riesgo de ser absorbidos por completo. El ataque fue detectado por el equipo de seguridad de comercio electrónico SanSec durante el fin de semana y luego confirmado por la empresa víctima.
Según los investigadores, los piratas informáticos encontraron y explotaron una vulnerabilidad en el complemento UpdraftPlus de WordPress que se ejecuta en un servidor de marketing perteneciente a Awesome Motive, la empresa detrás de varios productos populares de WordPress, incluidos OptinMonster, TrustPulse y PushEngage.
Aunque el servidor vulnerable no formaba parte del entorno de producción, almacenaba credenciales para la red de entrega de contenido (CDN) de la empresa y, utilizando claves API de CDN robadas, los atacantes pudieron modificar los archivos JavaScript distribuidos a través de la CDN de Awesome Motive.
Dirigirse solo a administradores
Posteriormente, OptinMonster, TrustPulse y PushEngine utilizaron los archivos comprometidos, lo que significa que los atacantes entregaron JavaScript a la audiencia, pero no todos.
El malware solo se activa cuando un administrador de WordPress que ha iniciado sesión visita un sitio afectado, lo que ayuda a mantenerlo oculto al dirigirse únicamente a usuarios con altos privilegios. Luego, el script malicioso recopila tokens de autenticación de administrador y nonces de WordPress y los utiliza para crear nuevas cuentas de administrador.
En el siguiente paso, los atacantes instalaron complementos maliciosos adicionales, implementaron una infraestructura de comando y control y comenzaron a eliminar datos confidenciales. El malware permite la funcionalidad de shell web, la ejecución de código PHP arbitrario, funciones de administración de archivos y prácticamente cualquier otra cosa que un administrador pueda hacer.
Incluso después de que Awesome Motive eliminara los scripts CDN maliciosos, los atacantes retuvieron el control de los sitios web ya comprometidos a través de cuentas de administrador fraudulentas y complementos de puerta trasera ocultos. Por lo tanto, los propietarios de sitios web en riesgo de adquisición deben buscar cuentas de administrador fraudulentas llamadas ‘developer_api1’ o ‘dev_xxxxxx’, inspeccionar el sistema de archivos directamente en wp-content/plugins en busca de complementos de puerta trasera ocultos y ejecutar análisis de malware del lado del servidor.
Además, deben rotar las contraseñas de administrador, las claves API, las credenciales de la base de datos y los elementos de seguridad de WordPress.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
