Malware mira sites com WordPress e tenta quebrar senhas

Sites que usam o sistema de gerenciamento WordPress e estão hospedados em servidores próprios são o alvo do GoTrim, um malware focado na quebra de senhas de administração. Por meio de ataques de força bruta, a botnet tenta obter acesso aos painéis de controles dos sites e blogs para entrega de vírus aos usuários, manipulação de anúncios, inserção de códigos maliciosos e outras atividades criminosas.

O alerta emitido pelos especialistas em segurança da Fortinet fala de uma campanha de ataques iniciada em setembro, mas que ainda usa uma praga em processo de desenvolvimento. A partir da raspagem da web, são localizados os possíveis alvos de ataques, com o GoTrim tentando acessar painéis de administração a partir de URLs padrões e realizando as tentativas de quebra de senhas.

Os comprometimentos bem-sucedidos são registrados em um servidor remoto, enquanto a praga permanece dormente, aguardando uma resposta. Em sua atuação, a praga também é capaz de emular uma instalação legítima do navegador Firefox, como forma de burlar eventuais mecanismos de segurança contra robôs, assim como possui ferramentas que permitem ultrapassar checagens CAPTCHA a partir de pelo menos sete plug-ins diferentes.

A indicação, segundo a Fortinet, é de uma operação de origem russa, já que o malware é programado para ignorar sites que estejam hospedados em um dos maiores provedores do país. Além disso, há indicações de tentativas de ataques contra páginas que usam a plataforma Joomla, ainda não implementadas, enquanto as ofensivas podem acontecer, além do WordPress, também contra sistemas como OpenCart e Data Life Engine.

De acordo com os especialistas, a escolha por sites hospedados em plataformas próprias tenta evadir as medidas de segurança implementadas pelo próprio WordPress. Além disso, a confiança dos criminosos é em senhas simples e configurações de proteção insuficientes, como a ausência de plug-ins de autenticação em duas etapas, por exemplo.

Essa, aliás, é a principal recomendação de segurança aos administradores de sites, ao lado do uso de senhas complexas, com diferentes caracteres aleatórios, letras, símbolos e números. Atualizar extensões e o próprio WordPress também ajudam a evitar ataques que se aproveitam de vulnerabilidades conhecidas, enquanto monitoramentos auxiliam na detecção de comprometimentos já realizados.

Como funciona o ataque do malware GoTrim

Se for bem-sucedido, o GoTrim faz login no site violado e relata a nova infecção ao servidor de comando e controle (C2), incluindo um ID de bot na forma de um hash MD5 recém-gerado.

Em seguida, o malware usa scripts PHP para buscar clientes bot GoTrim de um URL codificado e exclui o script e o componente de força bruta do sistema infectado, pois eles não são mais necessários.

A botnet pode operar em dois modos: “cliente” e “servidor”.

No modo cliente, o malware iniciará a conexão com o C2 do botnet, enquanto no modo servidor, ele iniciará um servidor HTTP e aguardará as solicitações recebidas do C2.

Se o endpoint violado estiver conectado diretamente à Internet, o padrão do GoTrim é o modo de servidor.

O GoTrim envia solicitações de beacon para C2 a cada dois minutos e, se não receber uma resposta após 100 tentativas, é encerrado.

O C2 pode enviar comandos criptografados para o bot GoTrim, que suporta o seguinte:

1. Valida as credenciais fornecidas nos domínios do WordPress
2. Valida as credenciais fornecidas no Joomla! domínios (não implementado)
3. Valida as credenciais fornecidas nos domínios OpenCart
4. Valida as credenciais fornecidas nos domínios do Data Life Engine (não implementado)
5. Detecta a instalação do WordPress, Joomla!, OpenCart ou Data Life Engine CMS no domínio
6. Encerra o malware

Fugindo da detecção

Para evitar a detecção pela equipe de segurança do WordPress, o GoTrim não terá como alvo sites hospedados no WordPress.com e, em vez disso, terá como alvo apenas sites auto-hospedados.

Isso é feito verificando o cabeçalho HTTP ‘Referer’ para “wordpress.com” e, se detectado, interrompe o direcionamento do site.

“Como os provedores de hospedagem WordPress gerenciados, como wordpress.com, geralmente implementam mais medidas de segurança para monitorar, detectar e bloquear tentativas de força bruta do que sites WordPress auto-hospedados, a chance de sucesso não vale o risco de ser descoberto.”, explica Os pesquisadores.

Além disso, o GoTrim imita o Firefox legítimo em solicitações do Windows de 64 bits para ignorar as proteções anti-bot.

Por fim, se o site WordPress de destino usar um plug-in CAPTCHA para interromper os bots, o malware o detectará e carregará o solucionador correspondente. Atualmente, ele suporta sete plugins populares.

A Fortinet também disse que o botnet GoTrim evita sites hospedados em “1gb.ru”, mas não conseguiu determinar os motivos exatos para isso.

Como proteger seu site WordPress

Para mitigar a ameaça GoTrim, os proprietários de sites WordPress devem usar senhas de conta de administrador fortes que são difíceis de força bruta ou usar um plug-in 2FA.

Por fim, os administradores do WordPress devem atualizar o software CMS básico e todos os plug-ins ativos no site para a versão mais recente disponível, que corrija as vulnerabilidades conhecidas que os hackers podem aproveitar para o comprometimento inicial.

Fonte: Fortinet

LEIA TAMBÉM: