3 jun 2022

~47.300 plugins maliciosos de WordPress instalados en 24.900 sitios

Se han descubierto hasta 47.337 plugins maliciosos en 24.931 sitios web únicos, de los cuales 3.685 complementos se vendieron en mercados legítimos, lo que les generó a los atacantes U$S 41.500 en ingresos ilegales.

Los hallazgos provienen de una nueva herramienta llamada YODA que tiene como objetivo detectar complementos de WordPress no autorizados y rastrear su origen, según un estudio de 8 años realizado por un grupo de investigadores del Instituto de Tecnología de Georgia.

"Los atacantes se hicieron pasar por autores de complementos benignos y propagaron malware mediante la distribución de complementos pirateados", dijeron los investigadores en un nuevo artículo titulado "Mistrust Plugins You Must".

"La cantidad de complementos maliciosos en los sitios web ha aumentado constantemente a lo largo de los años, y la actividad maliciosa alcanzó su punto máximo en marzo de 2020. Sorprendentemente, el 94% de los complementos maliciosos instalados durante esos 8 años todavía están activos hoy".

La investigación a gran escala implicó analizar los complementos de WordPress instalados en 410.122 servidores web únicos que se remontan a 2012 y descubrió que los complementos que costaron un total de U$S 834 000 fueron infectados después de la implementación por parte de los actores de amenazas.

YODA puede integrarse directamente en un sitio web y un proveedor de alojamiento de servidor web, o implementarse mediante un mercado de complementos. Además de detectar complementos ocultos y manipulados con malware, el framework también se puede usar para identificar la procedencia de un complemento y su propiedad.

YODA logra esto mediante la realización de un análisis de los archivos de código del lado del servidor y los metadatos asociados (por ejemplo, comentarios) para detectar los complementos, seguido de un análisis sintáctico y semántico para señalar el comportamiento malicioso.

El modelo semántico da cuenta de una amplia gama de señales de alerta, que incluyen web shells, función para insertar nuevas publicaciones, inyección de código, correo no deseado, ofuscación de código, bloqueo de SEO, descargadores de malware, publicidad maliciosa y mineros de criptomonedas.

Algunos de los otros hallazgos notables son los siguientes:

  • 3.452 complementos disponibles en mercados de complementos legítimos facilitaron la inyección de spam
  • 40.533 complementos se infectaron después de la implementación en 18.034 sitios web
  • Los complementos anulados (los complementos o temas de WordPress que han sido manipulados para descargar código malicioso en los servidores) representaron 8.525 del total de complementos maliciosos, con aproximadamente el 75% de los complementos pirateados engañando a los desarrolladores con U$S 228.000 en ingresos.

Fuente: THN

Suscríbete a nuestro Boletín

1 comentario:

  1. Buenas!

    Interesante herramienta YODA pero el repo que enlazaron tiene commits de hace 8 mese, no parece nueva.

    Ademas no tiene README (el que hay esta vacio) ni licencia de uso ni nada.

    Esperemos que el repo haya sido privado y lo abrieron recientemente, y que estas omisiones sean simplemente por eso.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!