Más de 1,000 sitios web impulsados por WordPress se han infectado con un código JavaScript de terceros que inyecta cuatro puertas traseras separadas.
«La creación de cuatro puertas traseras facilita a los atacantes que tienen múltiples puntos de reingreso en caso de que se detecte y elimine», dijo el investigador de C/lateral Himanshu Anand en un análisis del miércoles.
Se ha encontrado que el código de JavaScript malicioso se sirve a través de cdn.csyndication (.) Com. Al escribir, hasta 908 sitios web contienen referencias al dominio en cuestión.
Las funciones de las cuatro puertas traseras se explican a continuación –
- Backdoor 1, que carga e instala un complemento falso llamado «Procesador Ultra SEO», que luego se utiliza para ejecutar comandos emitidos por el atacante
- Backdoor 2, que inyecta JavaScript malicioso en wp-config.php
- Backdoor 3, que agrega una tecla SSH controlada por el atacante al archivo ~/.ssh/autorized_keys para permitir el acceso remoto persistente a la máquina
- Backdoor 4, que está diseñado para ejecutar comandos remotos y obtiene otra carga útil de GSocket (.) IO para abrir un shell inverso
Para mitigar el riesgo planteado por los ataques, se recomienda que los usuarios eliminen las claves SSH no autorizadas, roten las credenciales de administración de WordPress y controlen los registros del sistema para actividades sospechosas.
El desarrollo se produce cuando la compañía de seguridad cibernética detalló que otra campaña de malware ha comprometido a más de 35,000 sitios web con JavaScript malicioso que «secuestra completamente la ventana del navegador del usuario» para redirigir a los visitantes del sitio a las plataformas de juego en idioma chino.
«El ataque parece estar dirigido o originado de regiones donde el mandarín es común, y las páginas de destino finales presentan contenido de juego bajo la marca ‘Kaiyun’.
Las redirecciones ocurren a través de JavaScript alojado en cinco dominios diferentes, que sirve como un cargador para la carga útil principal responsable de realizar las redirecciones –
- mlbetjs (.) com
- Ptfafajs (.) Con
- zuizhongjs (.) com
- Jbwzzjs (.) Con
- Jpbkte (.) Con
Los hallazgos también siguen un nuevo informe del Grupo-IB sobre un actor de amenaza denominado SCREADEDJUNGLE Eso inyecta un Bablosoft JS con código JavaScript en sitios web de Magento comprometidos para recopilar huellas digitales de usuarios visitantes. Se cree que más de 115 sitios de comercio electrónico se ven afectados hasta la fecha.
El script inyectado es «parte de la suite Bablosoft BrowserautomationStudio (BAS)», dijo la compañía singapurense, y agregó «contiene varias otras funciones para recopilar información sobre el sistema y el navegador de usuarios que visitan el sitio web comprometido».
Se dice que los atacantes están explotando vulnerabilidades conocidas que afectan las versiones vulnerables de Magento (por ejemplo, CVE-2024-34102, también conocido como Cosmicsting y CVE-2024-20720) para violar los sitios web. El actor de amenaza de motivación financiera se descubrió por primera vez en la naturaleza a fines de mayo de 2024.
«Las huellas digitales del navegador es una técnica poderosa comúnmente utilizada por los sitios web para rastrear las actividades de los usuarios y adaptar las estrategias de marketing», dijo el grupo-IB. «Sin embargo, esta información también es explotada por los cibercriminales para imitar el comportamiento legítimo del usuario, evadir las medidas de seguridad y realizar actividades fraudulentas».