Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

De acuerdo a estudios realizados por Fortinet, la nueva red de bots (botnet) basada en Golang, denominada GoTrim escanea internet de manera constante en búsqueda de sitios con WordPress con el objetivo de apropiarse de las cuentas de administrador mediante ataques de fuerza bruta al formulario de login.

Cuando un ataque de fuerza bruta tiene éxito, se instala un cliente bot en el sistema comprometido a través de Scripts PHP maliciosos. El bot envía las credenciales del sistema infectado al servidor de Comando & Control (o C2) junto con un ID de bot generado en forma de hash MD5. Finalmente, el bot elimina el script y el componente de fuerza bruta del sistema infectado.

GoTrim puede comunicarse con el servidor C2 como cliente o como servidor. Cuando actúa de modo cliente, el bot envía peticiones HTTP POST al servidor C2, en cambio, cuando actúa en modo servidor, inicia un servidor HTTP y espera peticiones del C2. Si el sistema infectado está conectado directamente a internet, GoTrim funciona en modo servidor por defecto, en otro caso funciona como cliente. 

El servidor C2 envía comandos cifrados al bot de GoTrim para identificar el CMS (WordPress, Joomla, OpenCart, etc.) y validar las credenciales proporcionadas. Asimismo los bots de GoTrim tienen la capacidad de detectar y evadir la protección de CDNs como Cloudflare y SiteGround. También puede saltar el Captcha de siete plugins populares que se utilizan en sitios web de WordPress.

Recursos afectados

Sitios web con WordPress 

Recomendaciones

- Actualice sus contraseñas implementando políticas de contraseñas seguras.

- Actualice y mantenga actualizados todos los componentes de su sitio, sobre todo el core de su CMS y sus plugins.

Referencias

GoTrim: La red de bots que busca controlar cuentas de administrador de WordPress