Páginas de WordPress de todo el mundo están expuestas a la nueva botnet basada en Go, y que se ha denominado ‘GoTrim’. Su modus operandi se basa en el escaneo de la web en busca de sitios de WordPress para forzar la contraseña de administrador y tomar el control de la página.
Ya se están empezando a conocer los primeros casos de páginas de WordPress afectadas por la botnet GoTrim y que las pone en serio riesgo. Un compromiso que puede llevar a la implementación de malware, la inyección de secuencias de comandos para el robo de tarjetas de crédito, el alojamiento de páginas de phishing y otros escenarios de ataque.
Millones de páginas podrían quedar expuestas a esta amenaza en la que, después de una intrusión, el operador instala un script PHP de descarga en el host comprometido. Este, a su vez, está diseñado para implementar el «cliente bot» desde una URL codificada, añadiendo la máquina a la red de bots.
Actualmente, GoTrim no tiene capacidades de autopropagación propias, ni puede distribuir otro malware o mantenerse de forma persistente en el sistema infectado. Sin embargo, su principal objetivo es recibir comandos de un servidor controlado por un actor malicioso para la realización de ataques de fuerza bruta contra WordPress y OpenCart utilizando las credenciales proporcionadas.
GoTrim puede funcionar alternativamente en un modo de servidor, para escuchar las peticiones entrantes enviadas por el actor de amenazas a través del servidor de comando y control (C2). Sin embargo, esto solo ocurre cuando el sistema violado está directamente conectado a Internet.
Cómo mitigar el riesgo en las páginas de WordPress
Otra de las características de GoTrim es su capacidad para imitar solicitudes legítimas del navegador Mozilla Firefox en Windows de 64 bits. De esta forma consigue eludir las protecciones antibot, además de resolver las barreras CAPTCHA que tienen las páginas de WordPress.
«Aunque este malware todavía está en desarrollo, el hecho de tener una fuerza bruta de WordPress completamente funcional combinado con sus técnicas de evasión antibot lo convierte en una amenaza a tener en cuenta», apuntan desde Fortinet.
Para los investigadores de la firma, las campañas de fuerza bruta son peligrosas, ya que pueden comprometer el servidor y la implementación de malware. Para mitigar este riesgo, los administradores de sitios web deben asegurarse de que las cuentas de usuario (especialmente las cuentas de administrador) utilizan contraseñas seguras.