Botnet de Spam encontrada en 5000 webs hackeadas ejecuta secuencias de comandos php maliciosos
Un script PHP malicioso encontrado en más de 5,000 sitios web comprometidos ha sido señalado como el origen de una campaña de spam a gran escala que ha estado redirigiendo silenciosamente a los usuarios a páginas web que albergan píldoras que aumentan la dieta y la inteligencia.
El propósito de este script es mantener los sitios pirateados bajo el control de un grupo de ciberdelincuentes y administrar las redirecciones dinámicas a varias campañas de spam.
Los Scripts son una parte de las botnets "Brain Food"
El script es parte de la infraestructura de una botnet de spam voraz llamada "Brain Food". Las campañas de correo no deseado impulsadas por esta botnet se han detectado en marzo de 2017, pero sus operaciones fueron disecadas la semana pasada por el investigador de Proofpoint, Andrew Conway.
Conway dice que los operadores de botnets ponen en peligro sitios web y dejan este script atrás. El script les permite ejecutar código bajo demanda, pero su función principal es actuar como un punto de redirección en las operaciones de spam a gran escala.
Los administradores de botnets de Brain Food operan mediante el envío de spam a las víctimas que contienen enlaces acortados a estos scripts PHP en varios sitios pirateados.
Si un usuario hace clic en los enlaces acortados, llegan al script PHP, que redirige al usuario a otro sitio pirateado que aloja páginas web de venta de píldoras que aumentan la dieta y la inteligencia, que generalmente contienen marcas falsas.
Los scripts PHP son capaces de recibir nuevos "objetivos de redireccionamiento" de los operadores de Brain Food basados en la campaña de spam más reciente que están impulsando. Los scripts también recopilan estadísticas de clics para cada campaña.
Más de 2,400 sitios activos en los últimos siete días
Conway dice que ha estado rastreando más de 5,000 sitios que contienen copias de estos scripts PHP, con la gran mayoría encontrada en la red de GoDaddy. Más de 2,400 estuvieron activos la semana pasada, según Conway.
El botnet no parece estar viviendo de vulnerabilidades específicas en ciertas plataformas CMS. Conway dice que Brain Food se compone de sitios pirateados que se ejecutan en una multitud de plataformas, como WordPress, Joomla y otros.
El código del script también es polimórfico y ofuscado con múltiples capas de codificación base64. Además, también incluye protección contra la indexación automática de Google, respondiendo al rastreador de búsqueda de Google con un código 404 "error de página no encontrada".
Si bien la red zombi es inofensiva para los usuarios finales, empujando solo al contenido no deseado, es peligroso para los sitios infectados, principalmente debido a sus capacidades similares a las puertas traseras que permiten a los operadores de botnets ejecutar cualquier código que quieran en cualquier momento.
Los IOC para los servidores de comando y control de la botnet Brain Food están disponibles en el informe de Conway.