En esta página: [esconder]
los Malware Stealthworker ha sido detectado como el arma principal utilizada en un ataque mundial que derriba sitios de WordPress. Es usado por un grupo de piratería desconocido está usando este virus para eliminar blogs que lo usan. Un análisis de cómo se planifica la estrategia de infiltración revela que el malware se ha integrado en el plan de infección.
El malware Stealthworker utilizado una vez contra WordPress
Parece que uno de los ataques a gran escala más nuevos utilizados contra sitios de WordPress es utilizar el Malware Stealthworker como el arma principal. Un grupo de piratería desconocido está utilizando la amenaza como parte de su ataque.. El descubrimiento se realizó como parte de un red de captura de honeypot en curso. Este virus en particular está escrito en el Lenguaje de programación y se puede usar para lanzar ataques de fuerza bruta contra los principales servicios web y plataformas, incluidos los siguientes: cPanel / WHM, WordPress, Drupal, Joomla, OpenCart, Magento, MySQL, PostreSQL, Brixt, SSH y el servicio FTP. Este malware también se puede configurar para buscar rutas de inicio de sesión de administrador y respaldo.
A través de las operaciones de honeypot, los investigadores de seguridad pudieron detectar cómo el malware se ha infiltrado en los sistemas de destino. Los sistemas de prueba de víctimas utilizaron un sistema gratuito Tema alternativo de WordPress Lite instalado en el blog de prueba. Usando los ataques de fuerza bruta, los hackers pudieron reemplazar el customizer.php script usando un comando de carga de archivos.
Cuando las víctimas lanzan el guión creado por piratas informáticos. La secuencia de comandos del cargador peligroso conectará la instalación a un servidor VPS controlado por piratas informáticos desde donde se recuperará y ejecutará una segunda secuencia de comandos. Descargará un ejecutivo binario que es el motor principal del malware. La primera acción que se ejecutará será la comprobación de la arquitectura del servidor — si se trata de 32 o 64 bits. La siguiente acción será para matar procesos que contienen el sigilo cuerda.
también, Leer 130Los ataques M intentan robar las credenciales de la base de datos de 1.3M sitios de WordPress
Si bien la cantidad de comandos y secuencia maliciosa es limitada en este momento, esperamos que los hackers la cambien en un futuro próximo. Es muy posible que los ataques realizados sean simplemente pruebas que indican que el malware es completamente funcional.. Las versiones futuras se pueden actualizar para admitir las siguientes acciones:
- Entrega de código de malware adicional
- Robo de información
- Sabotaje
- Desfiguración del sitio
Para mantenerse a salvo siempre actualice la instalación de su sitio junto con cualquier funcionalidad adicional instalada, como temas y complementos.