La botnet SoakSoak está involucrada en el esquema Neutrino-CryptXXX

Los investigadores registraron un crecimiento de las infecciones del malware extorsionista CryptXXX, causado por los nuevos sitios web comprometidos que remiten a los usuarios al paquete de exploits Neutrino. Según Invincea, los sitios se hackean a través de una vulnerabilidad en el complemento Revolution slider para WordPress, que en condiciones normales se usa para crear presentaciones de diapositivas.

Pat Belcher, director de investigaciones de seguridad informática de Invincea, sostiene que los nuevos ataques de botnets están relacionados con la botnet SoakSoak, que apareció en la Web en 2014 y que con frecuencia se usa para automatizar la búsqueda de vulnerabilidades en los sitios web. “Estamos viendo una oleada de ataques de este tipo, dirigida a las presentaciones de diapositivas y a los componentes de vídeo de sitios populares”, afirmó el representante de la compañía.

Entre las víctimas de la actual campaña de redirecciones está el sitio web oficial de turismo de Guatemala y el sitio de una empresa mexicana responsable del suministro de agua en zonas urbanas. Todos los recursos comprometidos de las empresas redirigen a los visitantes a páginas de aterrizaje de Neutrino que propagan CryptXXX.

“De acuerdo con nuestras observaciones, las botnets similares a SoakSoak se están transformando y cambiando de carga útil: dejan de lado los troyanos clickers y ladrones de contraseñas habituales para dedicarse a difundir malware extorsionista”, constata Belcher.

Los dueños de la botnet SoakSoak también están cambiando sus tácticas, atacando nuevos grupos de sitios, pero todavía prefieren la plataforma de CMS WordPress, porque suponen que la mayoría de los visitantes de estos sitios usan Internet Explorer para Windows. Los sitios basados en WordPress también gozan de popularidad entre los operadores de paquetes de exploits. A principios de este año, los investigadores de ISC SANS advirtieron a la comunidad de Internet sobre una campaña de exploits que estaba vigente en aquel momento y que utilizaba sitios web basados en WordPress y Joomla hackeados.

Los expertos de Invincea están haciendo un seguimiento permanentemente de los ataques llevados a cabo desde la botnet SoakSoak contra los sitios web basados en WordPress que usan complementos potencialmente vulnerables como Revslider. Belcher explicó que por medio de Revslider los piratas informáticos introducen un script que redirige al usuario a los recursos de Neutrino cuando éste hace clic en una presentación de diapositivas o en un vídeo.

En su informe sobre la campaña actual de Invincea también hizo hincapié en que SoakSoak es una botnet muy agresiva y la vulnerabilidad de Revslider está generalizada. Así, Google hace un año y medio empezó a introducir masivamente los sitios web con WordPress comprometidos por SoakSoak en sus listas de rechazados. En ese momento, los atacantes penetraron los recursos legítimos con una versión obsoleta (4.1.4) de Revslider.

Por desgracia, en la nueva investigación realizada por Invincea no se especifica la versión del actual culpable de los hackeos.

Fuentes: Threatpost