Malware utilizado para spam de SEO en Wordpress

Detectado una cepa de malware dirigida a sitios de WordPress que incluye algunas técnicas de autopreservación bastante ingenios

Llamada BabaYaga, esta cepa de malware no es nueva, pero las actualizaciones recientes han transformado a este antiguo jugador discreto en un enemigo considerable para los administradores de sitios de WordPress.

BabaYaga malware ruso utilizado para spam de SEO

El grupo detrás de BabaYaga -que se cree que es un pirata informático de habla rusa- usa este malware para inyectar sitios con teclados especiales para dirigir el tráfico SEO a páginas ocultas en sitios comprometidos. Estas páginas se utilizan para redirigir a los usuarios a los enlaces de marketing de afiliación, donde si el usuario compra productos publicitados, los hackers también obtienen ganancias.

El malware per-se se compone de dos módulos, uno que inyecta el contenido de correo no deseado dentro de los sitios comprometidos, y un módulo de puerta trasera que les da a los atacantes el control sobre un sitio infectado en cualquier momento.

Las complejidades de ambos módulos se detallan con mucha más profundidad en este informe de 26 páginas escrito por Defiant (anteriormente conocido como WordFence), la empresa de seguridad que diseccionó las versiones más recientes del malware.

"[BabaYaga] está relativamente bien escrito, y demuestra que el autor tiene una cierta comprensión de los desafíos de desarrollo de software, como la implementación del código, el rendimiento y la gestión", dicen los investigadores de Defiant. "También puede infectar los sitios de Joomla y Drupal, o incluso los sitios genéricos de PHP, pero está completamente desarrollado en Wordpress".

Pero las cosas que se destacaron más del modus operandi de BabaYaga son dos funciones que actualizarán / reinstalarán el sitio de la víctima y eliminarán el malware de WordPress que compite.

Según el equipo de Defiant, el motivo de estas dos funciones está directamente relacionado con la capacidad del malware para inyectar correo no deseado en sitios comprometidos.

"Debido a que gran parte de la funcionalidad principal de BabaYaga se ejecuta junto con WordPress en la carga de la página, requiere que la aplicación esté funcionando correctamente", dice el equipo de Defiant. "Si algo rompe WordPress, las secuencias de comandos maliciosas no se ejecutan cuando se visita una página".

Por lo tanto, la razón por la cual el malware quiere mantener el sitio de la víctima actualizado, por lo que siempre funciona correctamente, sin errores.

Además, el mecanismo de actualización / reinstalación activado por BabaYaga no es solo una característica de segunda mano reunida por el mero hecho de hacerlo. Toda la secuencia de operaciones ha recibido toda la atención del grupo, y se ha ensamblado cuidadosamente, tanto que BabaYaga "incluso se encarga de la creación y limpieza de los archivos de copia de seguridad, en el caso de que falle una actualización".

BabaYaga busca y elimina malware que compite

El mismo deseo de mantener un sitio comprometido libre de errores es también la razón por la que BabaYaga también escanea el sitio infectado y elimina otras cepas de malware conocidas.

La idea es que algunos de estos programas maliciosos en competencia podrían estar mal codificados, lo que generaría errores de carga de página que indirectamente conducirían a situaciones que podrían impedir que BabaYaga funcione.

El razonamiento es simple: un buen parásito quiere mantener vivo a su anfitrión

Pero además de sus propias razones egoístas para operar sin errores, el equipo de BabaYaga también quiere mantener el sitio sin errores por otra razón.

Esa razón es que cualquier sitio con errores generalmente llama la atención de su propietario, quien en su esfuerzo por solucionar los problemas también podría descubrir los archivos y la presencia de BabaYaga.

Con todo, en palabras de Defiant, "BabaYaga es una amenaza emergente que es más sofisticada que la mayoría de los programas maliciosos".

Semrush sigue a tu competencia


Fecha actualización el 2018-06-08. Fecha publicación el 2018-06-08. Categoria: malware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
malware