Más de 10,000 sitios web han sido infectados con un sigiloso malware
Casi 11,000 sitios web en los últimos meses han sido infectados con una puerta trasera.La puerta trasera redirige a los visitantes a sitios que acumulan vistas fraudulentas de anuncios proporcionados por Google Adsense. Esto según afirmaciones de los investigadores de seguridad de Sucuri.
Los 10,890 sitios infectados, encontrados por la empresa de seguridad Sucuri, ejecutan el sistema de administración de contenido de WordPress y tienen un script PHP ofuscado que se ha inyectado en archivos legítimos que alimentan los sitios web. Dichos archivos incluyen “index.php”, “wp-signup.php”, “wp-activate.php”, “wp-cron.php” y muchos más. Algunos sitios infectados también han sido infectados con código ofuscado en wp-blog-header.php y otros archivos. El código adicional inyectado funciona como una puerta trasera diseñada para garantizar que el malware sobreviva a los intentos de desinfección al cargarse en archivos que se ejecutan cada vez que se reinicia el servidor de destino.
“Estas puertas traseras descargan shells adicionales y un script de correo PHP Leaf desde el dominio remoto filestack[.]live y los colocan en archivos con nombres aleatorios en los directorios wp-includes, wp-admin y wp-content. Dado que la inyección de malware adicional se encuentra dentro del archivo wp-blog-header.php, se ejecuta cada vez que se carga el sitio web y lo reinfecta. Esto garantiza que el entorno permanezca infectado hasta que se eliminen todos los rastros del malware”.
Ben Martin, investigador de Sucuri
Astuto y decidido
El malware se esfuerza por ocultar su presencia a los operadores. Cuando un visitante inicia sesión como administrador o ha visitado un sitio infectado en las últimas dos o seis horas, las redirecciones se suspenden. Como señalamos anteriormente, el código malicioso también está ofuscado, utilizando la codificación Base64.
Una vez que el código se convierte a texto plano, aparece de esta manera:
De manera similar, el código de puerta trasera que hace que el sitio se vuelva a infectar se ve así cuando está ofuscado:
Cuando se decodifica, se ve así:
La infección masiva de sitios web ha estado en curso desde al menos septiembre. En una publicación realizada en noviembre que alertó por primera vez a la gente sobre la campaña, Martin advirtió:
“En este punto, no hemos notado un comportamiento malicioso en estas páginas de destino. Sin embargo, en cualquier momento dado, los operadores del sitio pueden agregar arbitrariamente malware o comenzar a redirigir el tráfico a otros sitios web de terceros”.
Por ahora, el objetivo completo de la campaña parece ser generar tráfico de aspecto orgánico a sitios web que contienen anuncios de Google Adsense. Las cuentas de Adsense que participan en la estafa incluyen:
en[.]rawafedpor[.]com | ca-pub-8594790428066018 |
plus[.]cr-halal[.]com | ca-pub-3135644639015474 |
eq[.]yomeat[.]com | ca-pub-4083281510971702 |
news[.]istisharaat[.]com | ca-pub-6439952037681188 |
en[.]firstgooal[.]com | ca-pub-5119020707824427 |
ust[.]aly2um[.]com | ca-pub-8128055623790566 |
btc[.]latest-articles[.]com | ca-pub-4205231472305856 |
ask[.]elbwaba[.]com | ca-pub-1124263613222640 ca-pub-1440562457773158 |
Para hacer que las visitas evadan la detección de las herramientas de seguridad de la red y parezcan orgánicas, es decir, que provengan de personas reales que ven las páginas voluntariamente, las redirecciones se producen a través de búsquedas de Google y Bing:
Destino de las redirecciones
Los destinos finales son en su mayoría sitios de preguntas y respuestas que discuten Bitcoin u otras criptomonedas. Una vez que un navegador redirigido visita uno de los sitios, los delincuentes han tenido éxito. Martín explicó:
Esencialmente, los propietarios de sitios web colocan anuncios aprobados por Google en sus sitios web y se les paga por la cantidad de visitas y clics que obtienen. No importa de dónde provengan esas vistas o clics, siempre y cuando les dé la impresión a aquellos que pagan para que se vean sus anuncios de que, de hecho, los están viendo.
Por supuesto, la naturaleza de baja calidad de los sitios web asociados con esta infección generaría básicamente cero tráfico orgánico, por lo que la única forma en que pueden bombear tráfico es a través de medios maliciosos.
En otras palabras: los redireccionamientos no deseados a través de URL cortas falsas a sitios de preguntas y respuestas falsos dan como resultado vistas/clics de anuncios inflados. Y, por lo tanto, ingresos inflados para quien está detrás de esta campaña. Es una campaña muy grande y continua de fraude organizado de ingresos por publicidad.
De acuerdo con la documentación de Google AdSense, este comportamiento no es aceptable y los editores no deben colocar anuncios publicados por Google en páginas que violen las políticas de spam para la búsqueda web de Google.
Respuesta de Google
Los representantes de Google no respondieron a un correo electrónico preguntando si la compañía tiene planes de eliminar las cuentas de Adsense que identificó Martin o encontrar otros medios para tomar medidas enérgicas contra la estafa.
No está claro cómo se infectan los sitios en primer lugar. En general, el método más común para infectar sitios de WordPress es explotar complementos (plugins) vulnerables que se ejecutan en un sitio. Martin dijo que Sucuri no ha identificado ningún plugin con errores que se ejecute en los sitios infectados. No obstante, también señaló que existen kits de explotación que agilizan la capacidad de encontrar varias vulnerabilidades que pueden existir en un sitio.
Las publicaciones de Sucuri brindan pasos que los administradores de sitios web pueden seguir para detectar y eliminar infecciones. Por ejemplo, recomiendan encarecidamente a los propietarios de sitios web que parcheen todo el software a la última versión para mitigar el riesgo. Además, deben asegurar los paneles de wp-admin con 2FA u otras restricciones de acceso.
Los usuarios finales que se encuentren redirigidos a uno de estos sitios fraudulentos deben cerrar la pestaña y no hacer clic en ninguno de los contenidos.