Encuentran script PHP malicioso en 5.000 sitios web





 Desde hace un tiempo un grupo de ciberdelincuentes se ha dedicado a comprometer sitios web para llevar a cabo campañas de spam a gran escala. Estas han sido impulsadas mediante una botnet llamada “Brain Food”, detectada en marzo de 2017, aunque sus operaciones no fueron analizadas hasta la semana pasada por el investigador Andew Conway, de Proofpoint (compañía líder en ciberseguridad).

Según Conway  los operadores de la botnet comprometen los sitios web, luego implantan el script PHP malicioso (lenguaje a nivel de servidor web más utilizado del mundo) que redirecciona al usuario hacia otras paginas que contienen pastillas para adelgazar y que aumentan la inteligencia, donde la gran mayoria corresponde a marcas falsas.





En su articulo, Andrew Conway indica lo siguiente:

Brain Food es un script PHP que hemos encontrado en más de 5,000 sitios web comprometidos en los últimos cuatro meses. Más de 2,400 de esos han mostrado actividad en los últimos 7 días. Casi el 40% de los sitios comprometidos están alojados en cinco plataformas. Nos hemos dirigido a Go-Daddy donde hemos discutido formas de abordar el problema con ellos.




Cabe destacar que Brain Food se compone de sitios web que se ejecutan en varias plataformas entre ellas: WordPress y Joomla.


Los administradores de la botnet Brain Food operan mediante el envío de spam el cual contiene enlaces cortos hacia estos script php que se encuentran en sitios comprometidos por lo cual se requiere que el usuario haga clic en alguno de estos enlaces. Los correos electrónicos que distribuyen  son muy simples y con un saludo personalizado básico:


Respecto al código del script este es polimórfico y está ofuscado con múltiples capas de cifrado base64. También incluye protección contra la indexación automática por parte de Google, respondiendo al rastreador del buscador con un código 404, que indica que la página web no ha sido encontrada. Al estar construida con una tecnología que trabaja a nivel del servidor, el script no resulta peligroso para los usuarios finales, pero sí lo es para los sitios web afectados ya que permite a los atacantes ejecutar código arbitrario sobre estos.



Referencia:

Referencia: