Los ciberataques se siguen perfeccionando gracias a la irrupción de nuevas tecnologías como la IA y los ciberdelincuentes buscan un mayor efecto, aumentando el grado de perfección de sus tácticas. Así es como recientemente se ha conocido que cientos de sitios que ejecutan software WordPress se han visto afectados por una nueva botnet que se ha alojado en 708 espacios.
El investigador que descubrió esta campaña maliciosa de botnet, Denis Sinegubko, asegura que existen miles de computadoras de visitantes que han ido ejecutando paulatinamente el script y, por ende, accediendo a millares de dominios para adivinar las contraseñas y los nombres de usuario con cuentas concretas.
El nuevo actor malicioso que recluta usuarios sin saberlo
Las botnets o dispositivos zombies consisten en una red de dispositivos que son comprometidos con malware dominado por los ciberdelincuentes. De este modo, todas las computadoras afectadas son manipuladas de manera remota por el creador, denominado ‘pastor de bots’.
En esta ocasión, los visitantes de los sitios web infectados intentaron entrar por la fuerza bruta en estos espacios de WordPress infectados, por lo que resultaba imposible filtrar y bloquear dichas solicitudes al proceder de navegadores de visitantes reales. Se calcula que los atacantes han llegado a probar unas 41.800 contraseñas en cada sitio (a partir de 418 lotes de contraseñas).
Su método de actuación
Tal y como es posible imaginar, una botnet funciona de manera similar a los sitios web pirateados que alojan JavaScript malicioso. De este modo, todos los dominios ejecutan el sistema de gestión de contenidos WordPress. Ese script de 3 kilobits de tamaño, llega hasta un getTaskURL controlado por el atacante y proporciona un nombre de usuario junto a 100 contraseñas comunes.
Al introducir los datos en el navegador que visita ese sitio pirateado, se intenta iniciar sesión en la cuenta de usuario objetivo mediante contraseñas concretas. A partir de ese momento, JavaScript empieza a operar de manera cíclica, solicitando tareas de getTaskURL e informando paulatinamente a completeTaskURL.
Análisis detallado del método de actuación
Las investigaciones habían mostrado docenas de miles de solicitudes, mostrando la mayoría de archivos errores web 404. En torno al 0,5% de los casos establecieron un código de respuesta 200, por lo que los ciberdelincuentes podrían haber obtenido con éxito las contraseñas cifradas. Se pudieron registrar más de 1.200 direcciones IP únicas, de las cuales cinco representaron más del 85% de las solicitudes.
El investigador observó que una de las direcciones, 87.121.87.178, albergaba una URL utilizada en un ataque de criptojacking, lo que demostraría que la campaña anterior falló, ya que la URL maliciosa en la que se basaba no se encontraba alojada en suficientes sitios pirateados.
¿Qué hace un ciberdelincuente con la botnet?
El ciberdelincuente es capaz de manipular una amplia red de dispositivos a su disposición para llevar a cabo numerosas estrategias. Hablamos de ataques de denegación de servicio (DdoS), en el que los servidores reciben un volumen masivo de accesos simultáneos, interrumpiéndose las operaciones normales y generándose pérdidas importantes.
También se puede generar una redirección de tráfico, pudiendo el atacante dirigirlo a un sitio web duplicado como forma de interrumpir los servicios y robar información valiosa de los usuarios. La minería de Bitcoin es otra artimaña de los ciberdelincuentes, pues una botnet ofrece una gran potencia de procesamiento, generando beneficios sin costos asociados de electricidad ni hardware.
De igual modo, pueden enviar correos electrónicos no deseados (amplían la efectividad de las campañas de spam), roban información personal (explotan la botnet para el robo directo de información sensible, como datos financieros), instalar un malware adicional (expandiendo las operaciones maliciosas y poniendo en jaque la seguridad de los sistemas afectados) y campañas de phishing (una botnet permite a los ciberdelincuentes llevar a cabo campañas a gran escala).
Etapas de los ataques de botnet
En concreto, la nueva botnet que ha afectado a millones de usuarios de WordPress se ha servido de cinco etapas claras. En primer lugar, obtener las URL de los sitios de WordPress tras un rastreo riguroso, para después, extraer los nombres de usuario de los autores. Una vez inyectan scripts maliciosos (introducen script dinámico-linx[.]com/chx.js en los sitios web que ya han comprometido), proceden a un ataque distribuido de fuerza bruta para obtener credenciales que luego verifican.
La mejor defensa, un buen ataque
De igual modo, cabe destacar que la campaña más reciente que se ha acometido, según apunta Sinegubko, aprovecha todos los dispositivos y conexiones a Internet de los visitantes involuntarios. Se puede evitar usando NoScript u otra herramienta de bloqueo de JavaScript en sitios desconocidos. Incluso se pueden emplear bloqueadores de publicidad, algo muy recomendado para los usuarios menos expertos.
Las botnet están evolucionando a pasos agigantados. De hecho, aún es posible recordar los datos de mayo de 2022, cuando se conoció que la botnet Emotet triplicó su actividad y registró un crecimiento mundial superior al 200% de los usuarios afectados. Los usuarios deben mantenerse activos frente al que muchos bautizan como ‘el malware más peligroso del mundo’.
