- El malware oculta cargas útiles en los comentarios de la comunidad Steam
- Los sitios de WordPress se utilizan para alojar puertas traseras
- Casi 2.000 sitios han sido comprometidos desde julio
Los investigadores de seguridad de GoDaddy han descubierto una nueva e ingeniosa campaña de malware que utiliza comentarios realizados por cuentas de la comunidad Steam como infraestructura de comando y control (C2).
Así es como funciona el ataque: los atacantes primero encontrarán sitios web de WordPress vulnerables o aquellos protegidos por certificados débiles y los utilizarán para alojar malware PHP en algún lugar de los archivos del sitio. Por ejemplo, la muestra se encuentra en el archivo ‘functions.php’ de un tema. Este malware contiene un componente de inyección de JavaScript y una puerta trasera del lado del servidor.
Luego, cada vez que un visitante carga el sitio web infectado, el malware contacta con uno de los varios perfiles de la comunidad Steam y descarga el contenido de los comentarios del perfil. A nivel superficial, estos comentarios parecen inofensivos (aunque incoherentes), pero también contienen caracteres Unicode invisibles que llevan la carga útil real.
Apoyo a la industria
“Esta codificación permite incrustar datos binarios en un texto de apariencia sencilla. Los caracteres visibles actúan como camuflaje, mientras que los caracteres invisibles llevan la carga útil real”, dijo GoDaddy.
Luego, el malware extrae los caracteres, los convierte en datos binarios y reconstruye los bytes originales. Los investigadores descubrieron que estos datos recuperados contenían una URL, controlada por los atacantes, que apuntaba a un dominio que falsificaba una biblioteca legítima que alojaba un archivo JavaScript.
Luego, el malware usa WordPress para cargar JavaScript controlado por el atacante en cada página frontal, que los navegadores de los visitantes descargan y ejecutan, infectándose a sí mismos en el proceso.
En la campaña, hay dos conjuntos de objetivos: los sitios web vulnerables de WordPress y sus visitantes. Desde que se presentó la campaña en julio del año pasado, GoDaddy dice que ha encontrado casi 2.000 sitios de WordPress comprometidos. Desafortunadamente, los informes de investigación no llegan a describir lo que el malware hace a los visitantes.
Si ejecuta un sitio web de WordPress, GoDaddy recomienda verificar las referencias a las URL de la comunidad Steam, la inyección externa de JavaScript y las conexiones salientes de WordPress a Steam.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
