Descubren una nueva campaña del 'malware' FakeUpdates que ataca a sitios web de Wordpress para descargar troyanos
Un grupo de investigadores ha descubierto una nueva campaña del 'malware' conocido como FakeUpdates, en la que ataca a sitios web de Wordpress para engañar a los usuarios con el objetivo de que descarguen troyanos de acceso remoto y así controlar sus equipos a voluntad.
El 'malware' FakeUpdate, también conocido como SocGholish, ha estado operativo desde el año 2017, siendo uno de los 'softwares' maliciosos más frecuentes en el índice de amenazas. Se ha asociado anteriormente con grupos de cibercrimen ruso, como es el caso de Evil Corp, que se encarga de monetizar el uso de este 'malware' con la venta del acceso a los sistemas que infecta.
Así, los ciberdelincuentes continúan utilizando FakeUpdate con nuevas campañas de ataques maliciosos como la identificada por los investigadores de Check Point Research, el pasado mes de febrero, en la que se han comprometido sitios web de Wordpress para engañar a los usuarios y conseguir que descarguen troyanos de acceso remoto.
Tal y como ha explicado Check Point en su informe del Índice Global de Amenazas de febrero de 2024, en esta nueva campaña de FakeUpdate, los actores maliciosos utilizan JavaScript para atacar páginas web con sistemas de gestión de contenido, en este caso, sitios web de Wordpress, introduciendo trampas para que los usuarios descarguen 'malware' en sus sistemas.
Para infectar los sitios web de WordPress, los ciberdelincuentes utilizan cuentas de administrador wp-admin vulneradas. Tras ello, introducen ediciones alteradas de 'plugins' de WordPress, con las que engañan a los usuarios que acceden a dichos sitios web para que descarguen troyanos de acceso remoto.
Una vez se han descargado estos troyanos, los actores maliciosos consiguen el control del dispositivo en el que se haya descargado, obteniendo acceso a archivos, información almacenada u otro tipo de servicios valiosos.
Debido a su funcionalidad de descarga, los investigadores de Check Point han subrayado que se cree que el grupo de ciberdelincuentes monetiza el 'malware' vendiendo acceso a los sistemas que infecta. Lo que, además, se traduce en otras infecciones de 'malware' si proporcionan acceso a múltiples clientes.
En este marco, la vicepresidenta de Investigación en Chek Point Software, Maya Horowitz, ha recordado que, actualmente, las páginas web "son el escaparate del mundo digital, esenciales para la comunicación, el comercio y las conexiones". Por ello, ha instado a defenderlas de las ciberamenazas, algo que ha calificado como "fundamental" para proteger la presencia 'online' de los usuarios y de las empresas.
"Es vital implementar medidas preventivas y adoptar una cultura de tolerancia cero para garantizar una protección absoluta contra las amenazas", ha sentenciado Horowitz al respecto.
Ataques de 'ransomware' y explotación de vulnerabilidades
El índice de amenazas de Check Point Research también recoge alrededor de 200 sitios web de contenido sospechoso, dirigidos por grupos de 'ransomware' -aquellos que se dedican al secuestro de datos- de doble extorsión. En estos casos, los ciberdelincuentes utilizan estas páginas para presionar a las víctimas para que paguen un rescate de forma inmediata.
De entre estos sitios web sospechosos, 68 llegaron a publicar información de sus víctimas durante este año, para coaccionarles por no pagar un rescate de dicha información personal.
Para llevar a cabo estos ataques de extorsión, tal y como han detallado los investigadores, los ciberdelincuentes han utilizado el 'ransomware' Lockbit3 en la mayoría de los casos, con un 20 por ciento de incidentes registrados. Asimismo, también se ha detectado el uso de 'ransomware' Play con un 8 por ciento y 8base con un 7 por ciento.
Por otra parte, el equipo de Check Point ha señalado que 'Web Servers Malicious URL Directory Traversal' ha sido la vulnerabilidad más explotada por los actores maliciosos, afectando a un 51 por ciento de las empresas atacadas a nivel global. En este caso, se trata de una vulnerabilidad que permite a los atacantes remotos revelar o acceder a cualquier archivo del servidor atacado.
Los ciberdelincuentes también han explotado las vulnerabilidades, 'Command Injection Over HTTP' y 'Zyxel ZyWALL Command Injection', que han afectado a un 50 por ciento de las compañías respectivamente. En el caso de estas últimas, permiten ejecutar comandos arbitrarios en el sistema del dispositivo, a través de solicitudes diseñadas para engañar al usuario.
'malware' más buscado
Continuando con los ataques de 'malware', Check Point ha señalado que España ha experimentado una disminución del 7 por ciento de estos ataques durante el mes de febrero. Sin embargo, los 'software' maliciosos más buscados han sido FakeUpdates, Qbot y Pandora, entre otros.
En el caso de FakeUpdates, ha llegado a afectar al 11,9 por ciento de las empresas en España. Asimismo, los investigadores han puntualizado que ha llevado a "muchos otros programas maliciosos", como es el caso de GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult.
Qbot, por su parte, se dedica a robar las credenciales de acceso de los usuarios, mediante métodos como el registro de pulsaciones de teclas, sustrayendo 'cookies' de los navegadores o espiando actividades bancarias. Este 'malware' se suele distribuir a través de correos electrónicos y ha afectado al 5,2 por ciento de las empresas españolas.
Asimismo, Pandora es un 'ransomware' que también se propaga a través de correos electrónicos y otras técnicas de 'phishing'. En este caso, ha afectado tanto a usuarios como a empresas causando pérdidas de datos e, incluso, daños económicos.
En concreto, todos estos ataques se han centrado en las industrias de la Sanidad, el Gobierno y las organizaciones militares, y las compañías de finanzas y bancos.
'malware' móvil más usado
Finalmente, Check Point ha señalado que, de entre los 'malware' para dispositivos móviles más utilizados en febrero en España, Anubis se ha mantenido en primer lugar como el más utilizado. Se trata de un troyano bancario diseñado para 'smartphones' Android, capaz de acceder de forma remota al dispositivo y grabar audio, entre otras características de 'ransomware'.
Igualmente, los ciberdelincuentes también han recurrido al 'malware' AhMyth, que se distribuye a través de aplicaciones Android disponibles en tiendas de aplicaciones y en sitios web. Una vez instaladas estas aplicaciones infectadas, el actor malicioso puede recopilar información confidencial del dispositivo y realizar acciones como el registro de teclas, activar la cámara, capturas de pantalla o envío de mensajes SMS.
De la misma forma, se ha utilizado Hiddad, otro 'malware' distribuido en Android que es capaz de obtener acceso a detalles de seguridad clave integrado en el sistema operativo.