Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Campaña masiva de redireccionamiento de malware ois[.]is

Campaña masiva de redireccionamiento de malware ois[.]is

Por Deja un comentario

Los redireccionamientos de SEO maliciosos se pueden describir como malware diseñado para secuestrar un sitio web con el fin de abusar de sus recursos. Los atacantes usan esto para promocionar productos de su interés.

¿Cómo funciona?

Un aspecto notable de la campaña analizada es la capacidad de los hackers para modificar más de 100 archivos de media por sitio web, un enfoque que contrasta drásticamente con otros ataques de este tipo en los que sólo se manipula un número limitado de archivos para reducir la huella y escapar a la detección.

Al centrarse en páginas de WordPress afecta a sus archivos centrales. Por otro lado también infecta archivos .php maliciosos creados por otras campañas de malware no relacionadas.

Archivos más comunmente infectados:

  • ./wp-signup.php
  • ./wp-cron.php
  • ./wp-enlaces-opml.php
  • ./wp-settings.php
  • ./wp-comentarios-post.php

También se han descubierto otras instancias en las que la infección se encontró con nombres de archivos aleatorios. P.E: «RVbCGlEjx6H.php» o «lfojmd.php».

Dado que el malware se entrelaza con las operaciones centrales de WordPress esta redirección puede ejecutarse en los navegadores de cualquiera que visite el sitio web.

Técnicas de evasión

A continuación tenemos un ejemplo del código malicioso encontrado inyectado en el archivo index.php principal.

Código malicioso encontrado inyectado en el archivo index.php principal de WordPress.

La redirección no ocurrirá si la cookie «wordpress_logged_in» está presente o si la web actual es «wp-login». Se trata de una forma de evasión ante los administradores del sitio web.

En todos los casos el malware redirigía a archivos .png. Las versiones básicas hacían la redirección a https://ois[.]is/images/logotipo.png mientras que las versiones complejas eligen uno de los 8 archivos siguientes «logo-1.png» «logo-2.png» «logo-3.png» «logo-4.png» «logo-5.png» «logo-6.png» «logo-7.png» «logo-8.png».

Las redirecciones han ido rotando y se han identificado numerosos dominios distintos.

Entre ellos están:

  • es.w4ksa[.]com
  • paz.yomeat[.]com
  • qa.bb7r[.]com
  • en.ajeel[.]tienda
  • qa.istisharaat[.]com
  • 
es.photolovegirl[.]com
  • 
es.poxnel[.]com
  • 
qa.tadalafilhot[.]com
  • preguntas.rawafedpor[.]com
  • 
qa.elbwaba[.]com
  • preguntas.primerobjetivo[.]com
  • 
qa.cr-halal[.]com
  • qa.aly2um[.]com

El contenido de destino y temas de spam están asociados a temas financieros y de criptomonedas. Hasta el momento no se ha detectado ningún comportamiento malicioso en estas páginas a las que redirige, aunque no se descarta que en el futuro pudiesen comenzar a redirigir el tráfico a otros sitios web de terceros.

Desde Hispasec aconsejamos realizar una verificación de integridad del archivo central. Por otro lado, si se sabe cuando ocurrió el ataque, se puede ejecutar un comando en local o a través de SSH para buscar todos los archivos modificados en X tiempo ($ find . -type f -mtime -15).

Más información:

Acerca de Ignacio Navas

Ignacio Navas Ha escrito 33 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.