Los actores de amenazas han lanzado una campaña que utiliza actualizaciones falsas del navegador para difundir malware a un nuevo nivel, utilizando numerosos complementos de WordPress para distribuir malware. cargas útiles de robo de informacióndespués de utilizar credenciales robadas para iniciar sesión e infectar miles de sitios web.
El registrador de dominios GoDaddy advierte que una nueva variante de malware disfrazada de una actualización falsa del navegador conocida como ClickFix infectó más de 6.000 sitios de WordPress durante un período de un día del 2 al 3 de septiembre.
Los actores de amenazas utilizaron credenciales de administrador de WordPress robadas para infectar sitios web comprometidos con complementos maliciosos como parte de una cadena de ataque no relacionada «con vulnerabilidades conocidas del ecosistema de WordPress», Denis Sinegubko, ingeniero de seguridad senior de GoDaddy. escribió en una publicación de blog reciente.
«Estos complementos aparentemente legítimos están diseñados para parecer inofensivos a los administradores de sitios web, pero contienen scripts maliciosos incrustados que envían mensajes falsos de actualización del navegador a los usuarios finales», escribió.
La campaña explota complementos falsos de WordPress que inyectan JavaScript y generan actualizaciones falsas del navegador ClickFix, que utilizan blockchain y contratos inteligentes para obtener y entregar cargas útiles maliciosas. Los atacantes utilizan estrategias de ingeniería social para engañar a los usuarios haciéndoles creer que están actualizando sus navegadores, pero en lugar de eso ejecutan código malicioso, «en última instancia, comprometen sus sistemas con varios tipos de malware y ladrones de datos», explicó Sinegubko.
Campañas relacionadas pero distintas
Cabe mencionar que BorrarFalsoampliamente identificado en abril, es otro grupo falso de actividad de actualización del navegador que compromete sitios web legítimos con HTML y JavaScript maliciosos. Inicialmente se centró en los sistemas Windows, pero más tarde extenderse a macOS También.
Los investigadores han vinculado ClickFix con ClearFake, pero las campañas descritas por varios analistas tener muchas diferencias y probablemente sean grupos de actividades distintos. GoDaddy afirma haber estado rastreando la campaña de malware ClickFix desde agosto de 2023, detectándola en más de 25.000 sitios comprometidos en todo el mundo. Otros analistas en Proofpoint ClickFix detallado por primera vez a principios de este año.
La nueva variante ClickFix descrita por GoDaddy propaga malware falso de actualización del navegador a través de complementos falsos de WordPress con nombres genéricos como «Advanced User Manager» y «Quick Cache Cleaner», según la publicación.
«Estos complementos aparentemente legítimos están diseñados para parecer inofensivos a los administradores de sitios web, pero contienen scripts maliciosos incrustados que envían mensajes falsos de actualización del navegador a los usuarios finales», escribió Sinegubko.
Toda la información en los metadatos del complemento es falsa, incluido el nombre del complemento, la URL, la descripción, la versión y el autor, pero parece plausible a primera vista y no generaría sospechas de inmediato, según GoDaddy.
Automatización utilizada para escalar la campaña.
Un análisis más detallado detectó automatización en la convención de nomenclatura del complemento, y los investigadores notaron un patrón de nomenclatura de archivos JavaScript que consiste en la primera letra de cada palabra en el nombre del complemento, seguida de «-script js».
Por ejemplo, el complemento Advanced User Manager contiene el archivo aum-script.js, según los investigadores, que utilizaron esta convención de nomenclatura para detectar otros complementos maliciosos relacionados con campañas, como Easy Themes Manager, Content Blocker y un inyector CSS personalizado.
Los URI del complemento y del autor también hacen referencia con frecuencia a GitHub, pero el análisis mostró que los repositorios asociados con el complemento en realidad no existen. Además, los nombres de usuario de GitHub siguieron una convención de nomenclatura sistemática relacionada con los nombres de los complementos, lo que «indica un proceso automatizado detrás de la creación de estos complementos maliciosos», escribió Sinegubko.
De hecho, los investigadores finalmente descubrieron que los complementos se generan sistemáticamente utilizando una plantilla común, lo que permite a «los actores de amenazas producir rápidamente una gran cantidad de nombres de complementos plausibles, completos con metadatos y código incrustado diseñado para inyectar archivos JavaScript en WordPress». páginas. » escribió Sinegubko. Esto permitió a los atacantes ampliar sus operaciones maliciosas y agregar una capa adicional de complejidad a la detección.
¿Robo de credenciales como entrada inicial?
GoDaddy no tiene claro cómo los atacantes obtuvieron las credenciales de administrador de WordPress para lanzar la última campaña de ClickFix, pero señaló que los vectores potenciales incluyen ataques de fuerza bruta y campañas de phishing destinadas a adquirir contraseñas y nombres de usuario legítimos.
Además, como las cargas útiles de la campaña en sí son la instalación de varios ladrones de información En los sistemas de usuario final comprometidos, es posible que los delincuentes recopilen credenciales de administrador de esta manera, observó Sinegubko.
«Cuando hablamos de ladrones de información, mucha gente piensa en credenciales bancarias, carteras criptográficas y otras cosas de esa naturaleza, pero muchos ladrones pueden recopilar información y credenciales de una gama mucho más amplia de programas», señaló.
Otro escenario posible es que las direcciones IP residenciales desde las que se instalaron los complementos falsos podrían pertenecer a un botnet de computadoras infectadas que los atacantes utilizan como proxy para piratear sitios web, según GoDaddy.
Dado que la campaña incluye el robo de credenciales legítimas para iniciar sesión en sitios de WordPress, se recomienda a los usuarios que sigan las mejores prácticas generales para proteger sus contraseñas y evitar interactuar con sitios web desconocidos o mensajes que les pidan que revelen información de identificación privada.
GoDaddy también incluyó una larga lista de indicadores de compromiso (IoC) para la campaña (incluidos los nombres de complementos y archivos JavaScript maliciosos, puntos finales a los que se conectan los contratos inteligentes de la campaña y cuentas de GitHub asociadas) en la publicación del blog, para que los defensores puedan identificar si un sitio web ha sido comprometido.
