WordPress: miles de webs distribuyen anuncios maliciosos a causa de Eviltraffic

Los investigadores de CSE Cybsec han destapado una campaña masiva de malvertising que han bautizado como EvilTraffic, vulnerando decenas de miles de páginas web. Para ello se han aprovechado de vulnerabilidades existentes en diferentes CMS WordPress (editores de contenido web) y de esta manera han podido crear páginas modificadas en PHP para conseguir beneficios mediante anuncios.

Durante las últimas semanas de 2017 los expertos de CSE Cybsec observaron que los cibercriminales estaban utilizando vulnerabilidades en diferentes CMS para ejecutar su propio código y sacar así mucho dinero a causa de los visitantes de las webs.

Nueva campaña de malvertising de nombre Eviltraffic

Los sitios web comprometidos en la campaña Eviltraffic están basados en diferentes versiones de WordPress, uno de los gestores de contenido más populares de los últimos años. No es la primera vez que se produce una infección masiva de sitios WordPress y seguro no será la última si no hacemos bien los deberes.

Una vez infectan una web lo que hacen es cargar un archivo comprimido en ZIP a la misma, conteniendo los archivos modificados. A pesar de que el archivo comprimido cambia de nombre en cada caso, una vez es descomprimido siempre contiene una estructura idéntica. Algunos de los archivos no habían sido utilizados aún, lo que ha hecho más sencillo el análisis por parte de los investigadores. Veamos su composición.

Los archivos están metidos bajo una ruta de nombre diferente aunque están bastante seguros de que en todos los casos se trata del mismo malware: «vomiu», «blsnxw», «yrpowe», «hkfoeyw», «aqkei», «xbiret» o «slvkty».

Y bajo esta carpeta principal se observan archivos como los siguientes:

• Un archivo PHP de nombre lerbim.php
• Un archivo PHP con el mismo nombre que la carpeta «padre» (la ruta superior). Inicialmente contiene una extensión de nombre «suspected» que, una vez ejecutada la página lerbim.php, cambiará también su extensión a php.
• 2 directorios de nombres wtuds y sotpie con archivos en su interior.

Un ejemplo de dicha estructura lo vemos a continuación:

El propósito principal del malware usado para Evitraffic es el de lanzar redirecciones en cadena hasta al menos dos servidores que generan anuncios maliciosos en algunos casos y simplemente molestos en otros.

El archivo «<nombre_malware>».php se convierte en el núcleo de la estructura y cuando es contactado por un usuario mediante el navegador, efectúa una redirección primero a caforyn.pw y después a hitcpm.com. El segundo dominio hace labores de vehículo para derivar al usuario a cualesquiera de los sitios registrados en la plataforma de anunciantes.

Anuncios, descargas y envenenamiento SEO

Estas páginas podrían usarse para ofrecer servicios comerciales varios como «incrementar el tráfico» de sus potenciales clientespero este tráfico estará, no cabe duda, originado de forma fraudulenta y por tanto será perjudicial para los mismos a medio plazo.

Dichas webs también ofrecerán descargas dudosas como Toolbars (barras para el navegador) y complementos potencialmente no deseados, también la descarga de dudosos programas de seguridad como falsos antivirus. Incluso podría darse el caso de que las utilicen para robar información sobre tarjetas de crédito y otros medios de pago.

Para aumentar la visibilidad de la web, los sitios web infectados deberían tener un buen «page rank» o lo que es lo mismo, aparecer solventes a ojos de Google. Este malware por su parte hace trampas, llevando a cabo lo que se conoce como «envenenamiento SEO» mediante el aprovechamiento de listas de palabras clave actuales popularmente.

Para poblar el sitio web (que sirve de motor al mismo, no hay que olvidarlo) comprometido con listas de palabras y sus consultas relativas se consulta al archivo PHP principal mediante un User-Agent específico en una ruta con el siguiente aspecto:

<nombre_malware>/<nombre_malware>.php?vm=<palabra_clave>

No es una cuestión menor…

Es decir, que los dueños de sitios WordPress vulnerables se enfrentarían no solo a ser cómplices con su infraestructura de potenciales delitos, sino que además verán penalizada la aparición de su sitio web en buscadores e incluso podrían ser introducidos en listas negras de Google y otros servicios de seguridad, que comenzarían con el tiempo a bloquear el acceso de usuarios legítimos a su sitio.

Aún queda un último cartucho que esta amenaza ha estado usando a su favor desde que apareciera en Octubre de 2017 y es el robo de tráfico. En muchos casos ha sido capaz de insertar un «secuestro de navegador» con el fin de derivar al usuario a un sitio de interés, siendo distribuido de las siguientes formas:

• Archivo adjunto en email
• Descarga de un programa gratuito o «freeware» en un sitio que no es de confianza
• Archivos torrent con enlaces perjudiciales
• Juegos online
• Visita a webs comprometidas previamente

Gracias a este artefacto se han podido secuestrar navegadores mediante el cambio de valores DNS, ajustes del navegador o secuestro de página de inicio, entre otros.

Más información e IOCs sobre este ciberataque en la web de Cybsec.

Conclusiones

Hasta el momento se han confirmado unas 18100 webs infectadas con Eviltraffic. Lo bueno es que de las primeras oleadas muchas han sido ya desinfectadas (al principio el número era de 35000). Los administradores de sitios web deben estar alerta y aplicar siempre las actualizaciones importantes. además de contar con unas buenas prácticas para «hardening de WordPress» que pueden empezar por instalar un plugin como WordFence.