Los investigadores de seguridad de Fornit han anunciado que han detectado una nueva campaña de ataques consistente en escanear la estructura de sitios WordPress para robar las contraseñas de los portales de administración de los portales de estos sitios.
Actualizado el Malware RapperBot que ahora hacía los servidores de juegos provocando ataques DDoS
La red encarga de lanzar los ataques sería la red de bots GoTrim.
Sitios WordPress atacados por GoTrim Botnet
Una vez que los ataques de GoTrim logran descifrar la contraseña de administración de los sitios y tomar el control del sitio, los atacantes pueden comenzar a distribuir malware, inyectar secuencias de comandos para robar tarjetas de crédito, redirigir a los usuarios a páginas web de phishing y mucho más.
Actualizado el Malware RapperBot que ahora hacía los servidores de juegos provocando ataques DDoS
Se calcula que este ataque podría afectar a millones de personas, dependiendo de la popularidad del portal atacado.
Los primeros ataques de GoTrim se descubrieron el pasado mes de Septiembre y la mayoría de ellos se ejecutaron contra servidores Linux.
Los ciberdelincuentes detrás de GoTrim asignan una lista de sitios objetivo y contraseñas para probar cada bot. Los intentos de inicio de sesión se realizan mediante ataques de fuerza bruta.
¿Cómo descifrar la contraseña de una aplicación o sistema informático?
Si se logra descifrar la contraseña y en el momento en el que se descifra, el sitio vulnerado se agrega a la botnet a través de la instalación y ejecución de un script PHP y las credenciales se envían al servidor C2C (comando y control).
Posteriormente, el script PHP que descarga el cliente botnet en las computadoras y el componente de fuerza bruta se eliminan para que no existan rastros del hackeo.