Se ha detectado una nueva red de bots basada en Golang llamada GoTrim que ha estado buscando sitios web WordPress autoalojados con el propósito de hacerse con el control de las cuentas de administrador de esos sitios. Esta campaña de ataque comenzó en septiembre y sigue en curso actualmente.
Los especialistas de Fortinet han descubierto que GoTrim emplea una red de bots para llevar a cabo ataques de fuerza bruta en una gran cantidad de sitios web objetivo. Cuando un ataque de fuerza bruta tiene éxito, se instala un cliente bot en el sistema comprometido a través de scripts PHP maliciosos. El bot envía las credenciales del sistema infectado al servidor C2 (Command & Control) junto con un ID de bot generado en forma de hash MD5. Los scripts PHP buscan otros bots GoTrim desde una URL codificada y los ejecutan. Para esconder sus actividades, el bot elimina tanto el script como el componente de fuerza bruta del sistema infectado.
GoTrim se comunica con su servidor de control (C2) de dos formas diferentes: como cliente o como servidor. En modo cliente, el bot envía peticiones HTTP POST al servidor C2, mientras que en modo servidor, inicia un servidor HTTP y espera peticiones entrantes del C2. Si el sistema infectado está conectado directamente a internet, GoTrim se pone en modo servidor por defecto; de lo contrario, pasa al modo cliente. Luego, envía solicitudes al C2 y, si no recibe respuesta tras 100 intentos, finaliza su actividad. El C2 envía comandos cifrados al bot GoTrim para identificar los sistemas de gestión de contenidos (CMS) en el sitio web objetivo, como WordPress, Joomla, OpenCart y DataLife Engine, y para validar las credenciales proporcionadas.
La red de bots de GoTrim es capaz de detectar y evadir las medidas anti-bots utilizadas por proveedores de alojamiento web y CDN, como Cloudflare y SiteGround. El malware puede imitar a Firefox legítimo en solicitudes de Windows de 64 bits para evitar las protecciones anti-bot. Contiene código para saltarse el CAPTCHA de siete plugins populares que se utilizan en sitios web de WordPress. Si el ataque de fuerza bruta tiene éxito, el bot envía un mensaje de estado de «3GOOD» al servidor C2; en caso contrario, sólo envía una actualización del mensaje de estado global.
Los investigadores han descubierto variantes modificadas de GoTrim, lo que indica que el malware sigue siendo un trabajo en curso. A pesar de esto, GoTrim usa fuerza bruta de WordPress completamente funcional junto con sus técnicas de evasión anti-bot, lo que lo convierte en una gran amenaza. Se recomienda a los propietarios de sitios WordPress que actualicen el CMS y todos los plugins activos del sitio a la última versión disponible para mitigar el riesgo de ser víctimas de este tipo de amenazas y que utilicen contraseñas de administrador más seguras.
Más información:
Deja una respuesta