Detectan botnet de sitios Wordpress que infectan a otros Sitios Wordpress.

Investigadores descubren una red de botnet que ha infectado a más de 20.000 sitios web basados en Wordpress y que tienen como objetivo infectar a otros sitios wordpress, y desde ellos realizar posibles ataques.

En una nueva investigación lanzada por la empresa de seguridad de WordPress, Defiant, se descubrió que los atacantes han reclutado más de veinte mil instalaciones de WordPress en una red de bots que desde la cual se pueden ejecutar comandos para forzar los inicios de sesión de otros sitios de WordPress en Internet.

Defiant ha declarado además que entre su módulo de protección de fuerza bruta Wordfence y la lista negra de IP, han bloqueado más de 5 millones de solicitudes de autenticación de estos atacantes.

Estos ataques de fuerza bruta tienen como objetivo la implementación de WordPress con XML-RPC para poder forzar combinaciones de nombre de usuario y contraseña por fuerza bruta hasta que se descubra una cuenta válida. XML-RPC es utilizado para que los usuarios externos puedan publicar contenido de forma remota en un sitio de WordPress utilizando las mismas API'S de Wordpress o de otras partes.

El problema con XML-RPC es que en su implementación predeterminada no realiza una limitación de velocidad en la cantidad de solicitudes de API que se emiten en su contra. Esto significa que un atacante puede sentarse allí todo el día intentando diferentes nombres de usuario y contraseñas, y nadie recibiría una alerta al respecto a menos que revisaran los registros.

Los atacantes estaban usando más de 14,000 servidores proxy ofrecidos por Best-Proxies.ru para anonimizar sus comandos C2.


Una vez que los sitios de WordPress infectados recibieran los comandos, comenzarían a aplicar fuerza bruta a la interfaz XML-RPC del objetivo para adquirir credenciales de inicio de sesión.

Defiant notó este ataque cuando vio una gran cantidad de inicios de sesión fallidos de clientes que pretendían ser clientes de WordPress para iPhone y Android.

"También notamos que los strings User-Agent asociadas con estas solicitudes coincidían con las utilizadas por las aplicaciones que comúnmente se ven interactuando con la interfaz XML-RPC, como wp-iphone y wp-android", afirmó la investigación de Defiant. "Dado que estas aplicaciones normalmente almacenan las credenciales localmente, era inusual ver una cantidad significativa de inicios de sesión fallidos, lo que atrajo nuestra atención. Identificamos más de 20,000 sitios esclavos de WordPress que estaban atacando otros sitios de WordPress".

Al examinar los sitios infectados, Defiant pudo localizar los scripts de fuerza bruta que se estaban utilizando. Estos scripts aceptarían la entrada POST de los servidores C2 que le indicaron a los scripts qué dominios apuntar y qué listas de palabras usar al realizar los ataques de fuerza bruta.