La botnet KashmirBlack está detrás de los ataques a CMS populares, incluido WordPress, joomla y drupal

KashmirBlack is behind WordPress attacks

Los investigadores de Imperva han descubierto que la botnet KashmirBlack, activo desde finales de 2019, está detrás de los ataques a cientos de miles de sitios web impulsados ​​por el popular CMS, incluyendo WordPress, Joomla, PrestaShop, Magneto, drupal, vBoletín, osCommerce, OpenCart y Yeager.

Como una regla, una botnet utiliza los servidores de recursos infectados para extraer criptomonedas, redirige el tráfico legítimo a sitios de spam, utiliza sitios pirateados para atacar otros recursos y mantener su actividad, y a veces incluso arregla desfiguraciones.

KashmirBlack era originalmente una pequeña botnet, pero en los últimos meses ha crecido hasta convertirse en una amenaza capaz de atacar miles de sitios por día.. Los cambios más radicales en el funcionamiento del malware se produjeron en mayo 2020, cuando la botnet amplió su infraestructura de gestión y su arsenal de exploits.escribe a los expertos.

De este modo, Los investigadores sostienen que KashmirBlack actualmente es operado por un C&servidor C, pero usa más de 60 servidores (recursos en su mayoría comprometidos) en su infraestructura.

KashmirBlack está detrás de los ataques a WordPress

KashmirBlack interactúa con cientos de bots, cada uno de los cuales se comunica con el C&Servidor C para obtener una lista de nuevos objetivos, iniciar ataques de fuerza bruta, instalar puertas traseras y trabajar en la expansión de la botnet.dijo la empresa en un informe.

El principal método de distribución de KashmirBlack es escanear Internet en busca de sitios que ejecuten software obsoleto.. Luego, el malware utiliza exploits para varias vulnerabilidades conocidas para piratear el sitio vulnerable y apoderarse de su servidor.. Según Imperva, la botnet abusa activamente 16 vulnerabilidades:

  • ejecución remota de código PHPUnit (CVE-2017-9841);
  • Vulnerabilidad de carga de archivos jQuery (CVE-2018-9206);
  • Inyección de comando ELFinder (CVE-2019-9194);
  • vulnerabilidad de carga remota de archivos en Joomla;
  • Inclusión de archivos locales de Magento (CVE-2015-2067);
  • Vulnerabilidad de carga de formularios web de Magento;
  • el problema de cargar un archivo arbitrario en el CMS Plupload;
  • vulnerabilidad en Yeager CMS (CVE-2015-7571);
  • Múltiples vulnerabilidades, incluida la carga de archivos y RCE, en muchos complementos para diferentes plataformas.;
  • Vulnerabilidad RFI de WordPress TimThumb (CVE-2011-4106);
  • Subir vulnerabilidad RCE
  • Vulnerabilidad RCE en el widget vBulletin (CVE-2019-16759);
  • Vulnerabilidad RCE en WordPress install.php;
  • ataque de fuerza bruta en WordPress xmlrpc.php;
  • RCE en varios complementos de WordPress (Lista llena aquí);
  • RCE en varios temas de WordPress (Lista llena aquí);
  • vulnerabilidad de carga de archivos en Webdav.

Los investigadores de Imperva señalan que, En su opinión, esta botnet es obra de un hacker conocido con el seudónimo de Exect1337, Miembro del grupo de hackers indonesio PhantomGhost..

Déjame recordarte las botnets más agresivas.: por ejemplo, Red de bots IPStorm, que ataca a Android, Dispositivos macOS y Linux, y Botnet de propaganda de Drácula.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *