Sites que usam o sistema de gerenciamento WordPress e estão hospedados em servidores próprios são o alvo do GoTrim, um malware focado na quebra de senhas de administração. Por meio de ataques de força bruta, a botnet tenta obter acesso aos painéis de controles dos sites e blogs para entrega de vírus aos usuários, manipulação de anúncios, inserção de códigos maliciosos e outras atividades criminosas.
O alerta emitido pelos especialistas em segurança da Fortinet fala de uma campanha de ataques iniciada em setembro, mas que ainda usa uma praga em processo de desenvolvimento. A partir da raspagem da web, são localizados os possíveis alvos de ataques, com o GoTrim tentando acessar painéis de administração a partir de URLs padrões e realizando as tentativas de quebra de senhas.
Os comprometimentos bem-sucedidos são registrados em um servidor remoto, enquanto a praga permanece dormente, aguardando uma resposta. Em sua atuação, a praga também é capaz de emular uma instalação legítima do navegador Firefox, como forma de burlar eventuais mecanismos de segurança contra robôs, assim como possui ferramentas que permitem ultrapassar checagens CAPTCHA a partir de pelo menos sete plug-ins diferentes.
A indicação, segundo a Fortinet, é de uma operação de origem russa, já que o malware é programado para ignorar sites que estejam hospedados em um dos maiores provedores do país. Além disso, há indicações de tentativas de ataques contra páginas que usam a plataforma Joomla, ainda não implementadas, enquanto as ofensivas podem acontecer, além do WordPress, também contra sistemas como OpenCart e Data Life Engine.
De acordo com os especialistas, a escolha por sites hospedados em plataformas próprias tenta evadir as medidas de segurança implementadas pelo próprio WordPress. Além disso, a confiança dos criminosos é em senhas simples e configurações de proteção insuficientes, como a ausência de plug-ins de autenticação em duas etapas, por exemplo.
Essa, aliás, é a principal recomendação de segurança aos administradores de sites, ao lado do uso de senhas complexas, com diferentes caracteres aleatórios, letras, símbolos e números. Atualizar extensões e o próprio WordPress também ajudam a evitar ataques que se aproveitam de vulnerabilidades conhecidas, enquanto monitoramentos auxiliam na detecção de comprometimentos já realizados.
Como funciona o ataque do malware GoTrim
Se for bem-sucedido, o GoTrim faz login no site violado e relata a nova infecção ao servidor de comando e controle (C2), incluindo um ID de bot na forma de um hash MD5 recém-gerado.
Em seguida, o malware usa scripts PHP para buscar clientes bot GoTrim de um URL codificado e exclui o script e o componente de força bruta do sistema infectado, pois eles não são mais necessários.
A botnet pode operar em dois modos: “cliente” e “servidor”.
No modo cliente, o malware iniciará a conexão com o C2 do botnet, enquanto no modo servidor, ele iniciará um servidor HTTP e aguardará as solicitações recebidas do C2.
GoTrim usa força bruta para assumir o controle de sites WordPress – Cadeia de ataque de botnet GoTrim (Fortinet)
Se o endpoint violado estiver conectado diretamente à Internet, o padrão do GoTrim é o modo de servidor.
O GoTrim envia solicitações de beacon para C2 a cada dois minutos e, se não receber uma resposta após 100 tentativas, é encerrado.
O C2 pode enviar comandos criptografados para o bot GoTrim, que suporta o seguinte:
- Valida as credenciais fornecidas nos domínios do WordPress
- Valida as credenciais fornecidas no Joomla! domínios (não implementado)
- Valida as credenciais fornecidas nos domínios OpenCart
- Valida as credenciais fornecidas nos domínios do Data Life Engine (não implementado)
- Detecta a instalação do WordPress, Joomla!, OpenCart ou Data Life Engine CMS no domínio
- Encerra o malware
GoTrim usa força bruta para assumir o controle de sites WordPress – Resposta C2 contendo comando para botnet (Fortinet)
Fugindo da detecção
Para evitar a detecção pela equipe de segurança do WordPress, o GoTrim não terá como alvo sites hospedados no WordPress.com e, em vez disso, terá como alvo apenas sites auto-hospedados.
Isso é feito verificando o cabeçalho HTTP ‘Referer’ para “wordpress.com” e, se detectado, interrompe o direcionamento do site.
“Como os provedores de hospedagem WordPress gerenciados, como wordpress.com, geralmente implementam mais medidas de segurança para monitorar, detectar e bloquear tentativas de força bruta do que sites WordPress auto-hospedados, a chance de sucesso não vale o risco de ser descoberto.”, explica Os pesquisadores.
Além disso, o GoTrim imita o Firefox legítimo em solicitações do Windows de 64 bits para ignorar as proteções anti-bot.
Por fim, se o site WordPress de destino usar um plug-in CAPTCHA para interromper os bots, o malware o detectará e carregará o solucionador correspondente. Atualmente, ele suporta sete plugins populares.
A Fortinet também disse que o botnet GoTrim evita sites hospedados em “1gb.ru”, mas não conseguiu determinar os motivos exatos para isso.
Como proteger seu site WordPress
Para mitigar a ameaça GoTrim, os proprietários de sites WordPress devem usar senhas de conta de administrador fortes que são difíceis de força bruta ou usar um plug-in 2FA.
Por fim, os administradores do WordPress devem atualizar o software CMS básico e todos os plug-ins ativos no site para a versão mais recente disponível, que corrija as vulnerabilidades conhecidas que os hackers podem aproveitar para o comprometimento inicial.
Fonte: Fortinet
LEIA TAMBÉM: