Seguridad web: El motivo del hacker: qué están haciendo los atacantes con su sitio pirateado

Introducción

WordPress funciona con más del 35% de Internet, lo que lo convierte en uno de los sistemas de gestión de contenido más populares. Esto significa que WordPress es también uno de los sistemas más específicos. Los piratas informáticos entienden que si pueden convertirse en expertos en comprometer las vulnerabilidades de WordPress, pueden apuntar y explotar más sitios. Con decenas de miles de complementos y temas disponibles, la probabilidad de descubrir un vector de intrusión fácilmente explotable instalado en numerosos sitios aumenta el atractivo de WordPress como objetivo de ataques maliciosos.

Los piratas informáticos de WordPress van desde scripts sin experiencia que buscan iniciarse hasta sofisticados sindicatos delictivos. Un niño de script que tiene muy poca experiencia técnica puede simplemente desfigurar sitios web por diversión y derechos de fanfarronear, mientras que un sindicato de piratas informáticos de sombrero negro puede pasar más tiempo evadiendo escáneres de malware, desarrollando redes complejas de comando y control para maximizar su impacto y monetizando sitios comprometidos. utilizando enlaces de spam de SEO y otros métodos. Exploraremos estos motivos un poco más y le brindaremos información detallada sobre por qué los atacantes atacan y comprometen los sitios web de WordPress.

Nuestra esperanza al hacerlo es que esta información le permita proteger su sitio, sin importar cuán pequeño o insignificante pueda percibir que su sitio es. Cualquier sitio de WordPress tiene un valor inmenso, y esperamos que pueda tomar medidas para proteger su sitio de este tipo de ataques.

Motivo del hacker n. ° 1: instalar puertas traseras

Una puerta trasera es un fragmento de código insertado en algún lugar de un sitio, ya sea en un archivo válido ya existente como el archivo 404 de un tema o en un archivo recién generado, que proporciona al atacante la capacidad de ejecutar comandos en el servidor del sitio comprometido. Una puerta trasera también puede establecer un shell inverso al servidor para ejecutar comandos y navegar libremente por el sistema de archivos.

Los atacantes a menudo instalan múltiples puertas traseras para mantener la persistencia en un sitio comprometido. Esto significa que tienen una manera fácil de volver a visitar y recuperar el acceso a los sitios comprometidos. Los atacantes utilizan este acceso para realizar cambios en un sitio comprometido que beneficia a una campaña de monetización, o reinfectar sitios en caso de que el contenido infectado se haya limpiado de forma incompleta o se hayan reparado las vulnerabilidades mientras la puerta trasera no se detectó.

Un atacante también puede instalar puertas traseras con la esperanza de obtener acceso de shell a un servidor. Una vez que un atacante obtiene acceso al shell, potencialmente puede escalar sus privilegios mediante la explotación de vulnerabilidades a nivel del kernel para obtener acceso de root al servidor, lo que le permitiría hacerse cargo de otros sitios alojados en el mismo servidor.

En casos más raros, los desarrolladores también pueden agregar puertas traseras durante el proceso de desarrollo de un sitio de WordPress para que actúen como un gancho de mantenimiento o un interruptor de interrupción en caso de que el propietario de un sitio deje de pagar por el mantenimiento. Si un desarrollador que no conoce bien ha creado algo para su sitio, es importante verificar que no haya agregado puertas traseras realizando un escaneo de malware y vulnerabilidad con un producto como Wordfence una vez que el proceso de desarrollo haya concluido.

Motivo del hacker n. ° 2: desfiguración

La desfiguración ocurre cuando un atacante altera el contenido, o la cara, de un sitio a otra cosa, típicamente sin un beneficio inmediato real para ellos. Esto puede ser algo tan simple como un eslogan como «Este sitio fue pirateado por r0gu3 1: L33t Hax0rs» con un fondo de texto cibernético verde. La mayoría de las veces, los atacantes desfiguran los sitios para enviar un mensaje político o simplemente para lucirse. Por lo general, no hay ganancia monetaria por desfigurar un sitio, aunque puede tener la intención de avergonzar al propietario del sitio.

Hubo una campaña de desfiguración masiva en febrero de 2017 cuando se descubrió una vulnerabilidad de la API REST en las versiones 4.7 – 4.7.1 de WordPress que permitía a atacantes no autenticados actualizar publicaciones arbitrarias. Cientos de miles de sitios se vieron afectados por esta vulnerabilidad mientras los atacantes competían en lo que parecía haber sido un «Concurso de desfiguración».

Un «Concurso de desfiguración» es cuando los atacantes intentarán desfigurar tantos sitios como sea posible para reclamar la victoria sobre otros atacantes, simplemente por el derecho de presumir.

El siguiente es un ejemplo de una desfiguración que vimos en 2017 durante el concurso de desfiguración que explota la vulnerabilidad de la API REST.

Ha habido algunos casos en los que los piratas informáticos de «sombrero gris», que no tienen intenciones totalmente maliciosas pero aún realizan acciones ilegales, han desfigurado sitios supuestamente para concienciar a los propietarios de sitios y alertarlos sobre el hecho de que tienen sitios vulnerables. Aunque es menos común, algunos atacantes hacen un esfuerzo por causar un daño mínimo más allá de informar al propietario del sitio que su sitio es vulnerable.

Motivo del hacker n. ° 3: inyección de contenido de spam / SEO

La inyección de contenido de spam / SEO se produce cuando un atacante inyecta HTML que contiene enlaces visibles u ocultos a sitios web externos con la esperanza de mejorar la clasificación de esos sitios en los motores de búsqueda. Esto se hace principalmente para obtener ganancias monetarias. A los atacantes se les puede pagar en el mercado negro o en la web oscura para mejorar las clasificaciones de SEO del sitio o pueden apuntar a mejorar el SEO de sus propios sitios inyectando estos enlaces de spam en los sitios de las víctimas.

Los motores de búsqueda puntuarán la popularidad de un sitio en función de una serie de factores de clasificación, incluida la cantidad de enlaces entrantes que el sitio tiene en la web en su conjunto. Los enlaces entrantes le dicen a los motores de búsqueda que otros propietarios de sitios ven el sitio como autoritario, y numerosos backlinks de sitios de alta autoridad pueden mejorar el rendimiento de un sitio en las páginas de resultados del motor de búsqueda (SERP). Los atacantes que buscan tener un buen desempeño en las SERPs intentarán colocar tantos enlaces en sitios limpios y de alta autoridad como sea posible en nichos altamente competitivos y rentables. El spam de SEO se utiliza a menudo para promocionar sitios con los que los proveedores de anuncios en línea no quieren o no pueden trabajar por razones legales, como productos farmacéuticos, juegos de azar en línea, productos falsificados y sitios de descarga ilegal.

Nuestro equipo de servicios de seguridad (SST) a menudo encuentra estos enlaces incrustados en la parte inferior de publicaciones, pies de página del sitio u otras ubicaciones. A veces, estos pueden ocultarse a la vista. De cualquier manera, los enlaces de spam de SEO pueden pasar desapercibidos durante bastante tiempo si no está examinando activamente las páginas de su sitio o realizando un escaneo de malware en su sitio de WordPress.

Ejemplo de una publicación de WordPress que contiene un enlace de spam.

Motivo del hacker n. ° 4: creación de páginas de spam

Al igual que los enlaces de spam, las páginas de spam intentan impulsar un sitio en un nicho altamente competitivo y rentable más alto en las páginas de resultados de los motores de búsqueda. Sin embargo, a diferencia de los enlaces de spam, estos ataques consisten en varias páginas HTML que contienen contenido de spam inyectado en un sitio comprometido. También puede implicar la creación de páginas de spam dentro de WordPress.

Los sitios que tienen nombres de dominio más antiguos tienen factores de clasificación de autoridad más altos en los motores de búsqueda y son un objetivo más deseable para los atacantes, ya que la autoridad del dominio también se transfiere a las páginas de spam creadas por el atacante.

El motivo de los atacantes en este escenario es la monetización. Las páginas de spam que crean a menudo contienen enlaces de afiliados con la esperanza de que el atacante pueda impulsar las ventas a los negocios y ganar dinero con los ingresos de afiliados generados por las páginas de spam. Estas páginas de spam también pueden redirigir a los usuarios del sitio a un sitio alternativo que venda productos, nuevamente como un medio para monetizar el sitio comprometido.

Un truco común de creación de páginas de spam que vemos a menudo es el truco de «palabra clave japonesa». Por lo general, esto implica la creación de una carpeta con varias páginas HTML que contienen spam japonés con enlaces de afiliados para vender mercadería. Estas páginas suelen ser indexadas por Google y pueden volverse tan graves que los resultados de búsqueda de un sitio infectado solo muestran páginas de palabras clave japonesas en los resultados de búsqueda.

Un ejemplo de los resultados de búsqueda de un sitio que muestran palabras clave en japonés. Fuente de la imagen: https://developers.google.com/web/fundamentals/security/hacked/fixing_the_japanese_keyword_hack

Motivo del hacker n. ° 5: Creación de anuncios publicitarios en PHP

Un script de correo PHP envía correos electrónicos a un servidor a través de código PHP. Los atacantes suelen utilizar estos scripts en un sitio comprometido para explotar las funciones de correo del servidor y enviar mensajes de spam no deseados. El spam generalmente se refiere a correos electrónicos no solicitados diseñados para llamar su atención e intentar que compre un producto. El spam también puede consistir en correos electrónicos diseñados para engañarlo para que ejecute acciones como ingresar su contraseña, que se consideraría suplantación de identidad, o para iniciar otras estafas comunes.

El spam es tan antiguo como el correo electrónico en sí, y sigue siendo increíblemente rentable incluso con los filtros de correo electrónico avanzados de la actualidad.

¿Por qué los atacantes comprometen los sitios de WordPress para enviar spam?
Es sencillo. Tiene un sitio legítimo y de buena reputación, por lo que enviar correos electrónicos no deseados desde su sitio es un objetivo atractivo, ya que un atacante tardará más en ser detectado y cerrado. Al utilizar el servicio de correo electrónico de su sitio como fuente de correo electrónico, es probable que un atacante eluda muchos filtros de correo electrónico y sus mensajes de spam se entreguen con éxito a más objetivos. Su sitio también proporciona recursos de correo gratuitos para que el atacante explote y envíe sus mensajes de spam para ganar dinero, e independientemente del tráfico que reciba su sitio, un atacante puede usar sus recursos de alojamiento y correo para su beneficio. Nuevamente, el motivo aquí es ganar dinero y pasar desapercibido durante el mayor tiempo posible.

Los proveedores de alojamiento tienen un fuerte incentivo para cerrar los remitentes de correo maliciosos que envían spam para proteger sus direcciones IP de las listas negras. Esto significa que la primera indicación de una infección de correo de PHP es a menudo que su sitio está cerrado. Su sitio también podría terminar en una lista negra si no está monitoreando y escaneando activamente su sitio en busca de malware e indicadores de compromiso.

Motivo del hacker n. ° 6: campañas de phishing

El phishing implica el uso de correos electrónicos que parecen legítimos para intentar engañar a un usuario para que realice algún tipo de acción, como iniciar sesión en un sitio bancario en línea falso. Los sitios de WordPress comprometidos se pueden usar como una fuente de correos electrónicos de phishing que se envían, y pueden alojar páginas de phishing que se hacen pasar por un sitio diferente para recopilar información confidencial.

Nuestro equipo de servicios de seguridad ha visto muchos casos en los que los sitios de WordPress se vieron comprometidos y luego se instaló un kit de phishing. Un kit de phishing es esencialmente un conjunto de archivos que se utilizan para crear una página web que se asemeja a un sitio legítimo como Google Drive o un sitio de banca en línea. En estos casos, su sitio actuaría como un host gratuito para los atacantes malintencionados que alojan una página de phishing para recopilar los detalles del usuario.

Los enlaces a estas páginas web se proporcionan en correos electrónicos de phishing, que son correos electrónicos que parecen provenir de una fuente legítima. El atacante espera que los usuarios hagan clic en el enlace del correo electrónico y proporcionen sus credenciales u otra información confidencial en la página de phishing.

Aquí hay un ejemplo de una página de phishing destinada a recopilar las credenciales de Google sobre las que informamos en 2017. Se parece mucho al área normal de inicio de sesión de Google que normalmente ve al iniciar sesión, ¿verdad?

Página de inicio de sesión de phishing de URI de datos de GMail

La gran mayoría de las veces, las campañas de phishing se utilizan para apuntar a las credenciales de los usuarios para servicios como sitios bancarios o activos corporativos con la esperanza de robar datos de esas cuentas para venderlos en la web oscura. Una vez más, las campañas de phishing se crean principalmente como un medio para monetizar, ya sea directa o indirectamente mediante la recolección y venta de credenciales de usuario.

Asegúrese de nunca proporcionar credenciales o información confidencial después de hacer clic en un enlace en un correo electrónico. Si recibe lo que parece ser un aviso de Wells Fargo o WordPress, por ejemplo, asegúrese de visitar ese sitio directamente para iniciar sesión y ver los avisos. Examine de cerca el contenido de cualquier correo electrónico, incluidos los enlaces incluidos, y asuma que cualquier enlace es malicioso.

Motivo del hacker n. ° 7: redirecciones maliciosas

Los redireccionamientos maliciosos se utilizan para redirigir a los usuarios legítimos del sitio a un sitio alternativo, generalmente con la esperanza de infectar la computadora de la víctima a través de una descarga maliciosa. A los atacantes les gusta instalar software malicioso en las computadoras de los usuarios por una gran cantidad de razones, pero casi siempre se debe a un motivo: la monetización.

Los atacantes a veces también optarán por redirigir a los usuarios del sitio a un sitio de spam con la esperanza de vender productos para, nuevamente, intentar monetizarlos.

Los redireccionamientos maliciosos suelen ser el resultado de una vulnerabilidad de secuencias de comandos entre sitios o una vulnerabilidad de cambio de opción arbitraria. La mejor manera de proteger su sitio de ser explotado por estas vulnerabilidades sería mantener sus temas, complementos y núcleo actualizados y ejecutar un firewall de aplicaciones web para ayudar a proteger su sitio durante los períodos intermedios cuando se descubrió una vulnerabilidad, pero su El sitio aún no se ha actualizado para parchear el código vulnerable. Como visitante del sitio, la mejor manera de protegerse contra redireccionamientos maliciosos es mediante el uso de software antivirus en los dispositivos que utiliza para navegar por sitios web.

Un ejemplo de JavaScript que un atacante podría inyectar a través de un ataque XSS para redirigir a los visitantes de su sitio a un sitio malicioso podría verse así:

1
<script type="text/javascript"> window.location.replace("https://wordfence.com");</script>

Motivo del hacker n. ° 8: servidor de comando y control con una botnet

Una botnet es un grupo de hosts ya comprometidos, denominados «zombies», que un atacante suele utilizar para intentar infectar hosts adicionales o ejecutar un ataque DDoS. El servidor de Comando y Control, o C2, es lo que los atacantes usan para controlar los hosts comprometidos y dirigirlos para que realicen muchas acciones diferentes. Este es un motivo por el que los atacantes no necesariamente se preocupan por la visibilidad o el tráfico a su sitio, sino que buscan utilizar los recursos de alojamiento de su sitio.

En diciembre de 2018 , seguimos una campaña de fuerza bruta masiva que utilizó una botnet creada por un atacante para intentar obtener acceso a más sitios de WordPress. Esencialmente, un atacante creó un servidor de comando y control utilizado para controlar los muchos sitios de WordPress «zombis» infectados y la fuerza bruta de otros sitios de WordPress que utilizan los recursos de los sitios de WordPress ya comprometidos.

El motivo detrás de las botnets de comando y control es también la monetización mediante la explotación de vulnerabilidades y hacerlo rápidamente a escala. Estas explotaciones suelen ser mucho más sofisticadas y requieren el uso de puertas traseras en los sistemas afectados para mantener la persistencia y ejecutar los comandos iniciados por los servidores de control. Una vez que un atacante tiene el control de una botnet, puede usar cualquiera de los otros métodos de monetización enumerados, o arrendarla o venderla directamente.

Motivo del hacker n. ° 9: criptominería

Las infecciones por criptominería ocurren cuando los atacantes infectan sitios con criptomineros, que se utilizan para ganar criptomonedas, que es una forma digital de moneda que utiliza una cadena de bloques. Las criptomonedas aprovechan la tecnología blockchain para obtener descentralización, transparencia e inmutabilidad. Este es otro escenario en el que el motivo del atacante no requiere que su sitio sea visible o popular, sino que los recursos de alojamiento del sitio (o visitantes) se explotan para proporcionar una ganancia monetaria al atacante.

Hemos visto campañas masivas en el pasado en las que un atacante ha utilizado todos los recursos de un servidor para extraer criptomonedas. Esto puede tener un impacto significativo en su sitio, ya que puede resultar en que su sitio se desconecte y provoque una pérdida de disponibilidad. Además, los criptomineros basados ​​en JavaScript también se han utilizado para generar criptomonedas utilizando los navegadores de los visitantes del sitio en el pasado, aunque estos son mucho menos comunes que hace unos años.

 

Fuente: https://www.wordfence.com/blog/2020/09/the-hacker-motive-what-attackers-are-doing-with-your-hacked-site/

¿Te gusta?… ¡Comnartelo!

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest