Impedir redirecciones maliciosas a dominios .XYZ

0

La semana pasada, los laboratorios Sucuri ya descubrieron un hackeo que redirigía de forma aleatoria a los visitantes hasta un dominio .com “aparcado” (esto es, sin contenido y reservado a nombre de alguien), además de redirecciones maliciosas hacia varias web con el dominio default7.com. 

Impedir redirecciones maliciosas a dominios .XYZ

Esta semana este último ha sido dado de baja, pero los atacantes han vuelto a las andadas con nuevas infecciones de sitios web, acompañados de una nueva redirección maliciosa mediante un sitio de nombre test5.xyz (registrado el 7 de Marzo).

Nuevas redirecciones maliciosas a dominios .XYZ

Este nuevo dominio apunta al mismo servidor dedicado que default7.com -199.48.227.25- situado en EEUU y aún redirige a los visitantes activos hacia sitios que sirven malware. Veamos como funcionan y como impedir redirecciones maliciosas a estos dominios, aumentando la seguridad del CMS .

Malware y anuncios al mismo tiempo

Sucuri ha citado un ejemplo de redirección mediante una cadena de código que lleva a una actualización Flash falsa, con un ratio de detección muy escaso en VirusTotal (sólo 2 de 56 motores antivirus lo detectan):

  • test5 .xyz/
  • test557 .com/
  • adorableoccassion .com/d/p/test557.com?k=39b456316a2174d17f701aea39f676c5.1462908901.787.0&r=
  • www.checkournewsoft .com/?pcl=5qe5FetFrItyco5HNTadzxMu9Nwdv__MlK_dmzyotoo.&subid=102860_63d8579cd6fe93a754bb2f7385e255da
  • autoupdate.update4ever .xyz/tfdsaza?cyfrt=5qe5FetFrItyco5HNTadzxMu9Nwdv__MlK_dmzyotoo.&subid= 102860_63d8579cd6fe93a754bb2f7385e255da&v_id=rpcihcNtq3qeCGZWqzeSqwvbhfhT4lBbZKLaUy096OA
  • intva31.technologyventures .info/dl?bc=1202331&c=affl_oc&filename=adobe_flash_player.exe&p_tid=eg9HLGMRX_BnN0NOehq8zM19O6mSk 8qUVpj1ECRPv0OsLJ1oMppUPgiL3WT_pAxDRnSUb7JueWZtGRRc42MYbZgOvRundJ4pn-mmg_oBLyDbmMC7PuTLWTdV_t-wwadKq9h6xbihiR6RKpD7CUbvdvoXPKG9y1l74BCxdqbZK6YAQRtKZfeD96VfEncqrlnFwHXwCnKUdEH5B DGP1RZ23YYBArnHKHKGHVbVWFEybDyyqyjlzyJ99p9Z7Cwv34MJ&productKey=ii7zxkp7ntfj6uljmsteb2irhuahtnbq&zTmp=1
  • intva31.electradev .info/dl-pure/1202331/35005458/?bc=1202331&checksum=35005458&ephemeral=1&filename= adobe_flash_player.exe&cb=631432239&hashstring=IczdojJFuj9J&usefilename=true&executableroutePath=1202485&stub=true

En la redirección final, se le sirve al visitante el siguiente ejecutable:

Falsa actualización de Adobe Flash

Falsa actualización de Adobe Flash

Apuntan con interés que junto con la falsa actualización de Adobe Flash se cargan scripts con anuncios. Por ejemplo, podemos ver uno correspondiente al sitio adk2x (conocido por servir malware) y que se abrirá en forma de ventana emergente:

adsrvmedia .adk2x .com/imp?p=71630944&ct=html&ap=1303&iss=0&f=0

www.freelotto .com/offer.asp?offer=1066295&affiliateid=71630941&tid=adkm_ExIRsa5e12OdlhukkLB7stg-9RsGhqGrjmFzgndXRhzcQZyn3sNwjSkW8wKNEKN2ie-1uOmrjUvusdhCP- kfM5nFhctHZ0UjuGbR67a8JnWTffqI40ESFrD4462B-AgMo2pz5fq1mADEdaVKv2vxSU3Razsq11sGoQzEp2oCbvvEzwy_Da0R12QJMZZERD7A4nOIdc-mRnRTUNkGyec__NGrzY9g- iCfEVbwznQ0jwoRKrvEXat9PrgGMifiwKeBOUJmrI0Q_1dfjAvh10pquxL8rFzKp-teF7zbiowHMn8L37FfbBL34ne4iytqkW6nXhhBaX_mvZW8GyRIxXxCejZ7i2C9XwUsj6V2WFpnOhY2X XnI9WGhZAPsJezeAjAE52XRSciD4z8TWrW04En2uWkDyV3FsoSzIIAUw515Di2wd0Op5hE5PBvW_W SOScQpgcmEcxwYYWpFfb09KqHpzw

Parece ser que esta técnica híbrida que combina ambos elementos les garantiza un mayor ratio de conversión, más beneficio.

Nuevo código inyectado

El código malicioso está aún siendo inyectado en el comienzo de cada archivo header.php, pero tiene aspectos y funciona de forma diferente según el caso.

La versión vieja de este ciberataque era similar, infectando también el archivo footer.php. Aunque en la nueva versión el código no está ofuscado (oculto) es más compleja incluso, utilizando redirecciones de parte del cliente (en lugar de ser de parte del servidor).

Inyección de código malicioso

Inyección de código malicioso

Así funcionan estas redirecciones maliciosas

Para que un visitante sea redirigido, tiene que pasar varios niveles de ataque, cada uno de ellos asociado a una petición HTTP diferente. Se supone que así se consigue reducir en gran medida la detección de los sistemas de seguridad en URL.

1. Asignación de parámetro IP

Cuando el visitante llega desde un sitio web infectado por primera vez, el malware inyecta el siguiente código Javascript:

<script src=’/?nnn_nnn_nnn_nnn=1′></script>

Las “n” representan la dirección IP del servidor. Los puntos son reemplazados con barra baja posteriormente. El script no revela demasiado sobre la forma de este malware, simplement otro script de muchos. Sólo hay una cosa que llama la atención: solicita la home page (página de inicio) en lugar de un archivo .JS propiamente dicho, algo más natural.

2. Comprobación de cookies

Este script inicia otra petición GET hacia una web infectada. El código peligroso ahora detecta el parámetro nnn_nnn_nnn_nnn anterior, representando la IP. Esto lanza otra función que devuelve del servidor otro código .JS de mayor longitud.

¿Para qué? Pues para conseguir esconder el malware a los visitantes reincidentes y cargar a su vez el malware desde un sitio web de terceros. La cookie usada para detectar a los visitantes recibe el nombre de Jf8y6S2aifZVynJb6hEZ.

3. Puertas de enlace inversas

Para obtener las URL de los sitios de terceros, el script hace una petición más a la misma web infectada. De ella recibe el parámetro /?sXnj0DSOvuqJQ7SnZkS6=1.

Cuando el código inyectado lee el parámetro, devuelve esta lista de URLs:

3BVKIGQA0lhCLzrxTFM7_star
hxxp://22degrees .co.nz/wp/wp-content/themes/lightweight/main .php
hxxp://alf-mutschelbach .de/wp-content/themes/lightweight/track .php
hxxp://newsweetpix .com/assets/track .php
hxxp://fugitif.eu/wp-content/themes/lightweight/atom-conf .php
hxxp://morrow-technologies .com/wp-content/themes/lightweight/inc .php
3BVKIGQA0lhCLzrxTFM7_end

Así, el script mencionado en el paso 2 usa estas URL para cargar scripts externos sobre ellas. Ya que las direcciones están en sitios web hackeados, la redundancia ayuda a mantener el ataque vivo, incluso aunque las puertas de enlace desaparezcan.

Normalmente, los atacantes se cuidan de que sólo el primer sitio disponible suelte la carga, para evitar poner en riesgo de ser descubiertos a los demás, además de comunicarse todas con el mismo servidor central casi con toda seguridad.

Este esquema de funcionamiento asegura que el ataque sea flexible, ya que puede modificar la URL usada para la redirección, sin tener que realizar cambios en los sitios web.

4. Redirección final

La puerta de enlace deuvelvo el script BetterJsPop. Este crea un pop-up o ventana emergente, o bien redirige al sitio test5.xyz. Además, asigna la cookie del paso 2 para que se respete por un año, sabiendo así que visitantes son reincidentes.

Estas redirecciones finales ponen en aprietos a ciertos escáneres de seguridad web, que se confunden y no marcan esto como una amenaza. No ocurre así con el escáner Sucuri Site Check. Si estáis afectados os devolverá el resultado:

malware-entry-mwjsanon7?r3

Prevenir/corregir las redirecciones maliciosas

Este ataque suele utilizarse con credenciales de WordPress robadas, para entrar en el menú wp-admin y utilizar el editor de temas para inyectar el malware en diferentes archivos. Debes proteger tu sitio web y su entrada al mismo.

  • Si estás afectado, elimina el código afectado del archivo de tema. Este ataque incluye fragmentos de código en cada  archivo header.php (y dependiendo de la versión, también en footer.php). En el caso de Joomla, debemos comprobar además administrator/includes/help.php
  • Si te quedan dudas, es mejor que reemplaces todo el tema y pongas un backup limpio del mismo.
  • Asegúrate de que no existen nuevos usuarios en la interfaz de tu CMS.
  • Imaginamos que no editarás archivos de temas todos los días, así que conviene que los asegures para que no se puedan editar desde la interfaz de administrador. Para ello, cambia el tipo de permisos en los archivos del tema a 444 o utiliza la configuración de wp-config.php para restringir esto:

define( ‘DISALLOW_FILE_EDIT’, true);

  • Impide que los atacantes usen la fuerza bruta contra tu inicio de sesión. Hay plugins para ello, además de poderse cambiar la página de inicio de sesión por defecto. También se puede desactivar XMLRPC si no lo necesitas.
  • Restringe el acceso a la administración de WordPress, para que únicamente las IPs de confianza que establezcas puedan ser aceptadas por esta. Un buen Firewall de aplicaciones web te lo permitirá.
  • Y finalmente el más obvio pero más olvidado: mantén al día tu versión de WordPress o CMS preferido, y también la versión de tus plugins, además de eliminar cada cierto tiempo los que ya no uses!
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR