Hoy, 15 de marzo de 2022, el equipo de respuesta a incidentes de Wordfence alertó a nuestro equipo de inteligencia sobre amenazas sobre un aumento en los sitios web infectados alojados en el servicio de WordPress administrado de GoDaddy, que incluye MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet y los sitios de WordPress administrados de Host Europe. Estos sitios afectados tienen una puerta trasera casi idéntica antepuesta al archivo wp-config.php. De los 298 sitios que han sido recientemente infectados por esta puerta trasera desde hace 5 días el 11 de marzo, al menos 281 están alojados con GoDaddy.
Comenzamos a ver un aumento general en los sitios infectados a partir del 11 de marzo:
La puerta trasera en cuestión ha estado en uso desde al menos 2015. Genera resultados de búsqueda de Google con spam e incluye recursos personalizados para el sitio infectado. La puerta trasera principal se agrega al comienzo de wp-config.php y se ve así:
La versión decodificada de la puerta trasera se ve así:
Y continuó…
Mecanismo de operación
Si se envía al sitio una solicitud con una cookie establecida en un cierto valor codificado en base64, la puerta trasera descargará una plantilla de enlace de spam desde un dominio de comando y control (C2), en este caso t-fish-ka[.]ru– y guárdelo en un archivo codificado con un nombre establecido en el hash MD5 del dominio del sitio infectado. Por ejemplo, el archivo codificado para ‘examplesite.com’ se llamaría 8c14bd67a49c34807b57202eb549e461, que es un hash de ese dominio.
Si bien el dominio C2 tiene un TLD ruso, no tenemos indicios de que esta campaña de ataque tenga motivaciones políticas o esté relacionada con la invasión rusa de Ucrania. El dominio muestra una página web en blanco, pero en 2019 ofrecía lo que parece ser contenido para adultos, posiblemente con un enfoque de marketing de afiliación.
El archivo codificado que se descarga contiene una plantilla basada en el código fuente del sitio infectado, pero con enlaces a spam farmacéutico añadido. Esta plantilla de enlace de spam está configurada para mostrarse cada vez que se accede al sitio.
Un fragmento de la plantilla de enlace de spam codificado se ve así:
Todavía no hemos determinado el vector de intrusión para esta campaña, pero el año pasado, GoDaddy reveló que un atacante desconocido había obtenido acceso no autorizado al sistema utilizado para aprovisionar los sitios de WordPress administrados de la empresa, lo que afectó a hasta 1,2 millones de sus clientes de WordPress .
Si su sitio está alojado en la plataforma de WordPress administrado de GoDaddy (que incluye sitios de WordPress administrados de MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet y Host Europe), le recomendamos que verifique manualmente el archivo wp-config.php de su sitio, o ejecute un análisis con una solución de detección de malware, como el escáner gratuito Wordfence, para asegurarse de que su sitio no esté infectado.
Si su sitio está infectado, deberá limpiarlo y es posible que también deba eliminar los resultados del motor de búsqueda de spam. Ofrecemos recursos instructivos sobre cómo limpiar su propio sitio web de WordPress pirateado . Si desea que nuestro equipo de Respuesta a incidentes limpie su sitio por usted, puede registrarse en Wordfence Care y nosotros nos encargaremos de ello.
Si conoce a alguien que usa el alojamiento administrado de WordPress de GoDaddy, le instamos a que le envíe este aviso porque los resultados de motores de búsqueda maliciosos pueden tardar mucho en recuperarse y actuar con rapidez puede ayudar a minimizar el daño.
Nos pusimos en contacto con la seguridad de GoDaddy y nos ofrecimos a compartir información adicional con ellos. No proporcionaron un comentario a tiempo para su publicación.
Todos los nombres de productos y empresas mencionados en esta publicación son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios. El uso de ellos no implica ninguna afiliación o respaldo por parte de ellos.
Fuente:https://www.wordfence.com/blog/2022/03/increase-in-malware-sightings-on-godaddy-managed-hosting/
