GoTrim usa força bruta para assumir o controle de sites WordPress

Segundo informações da Fortinet, o novo malware botnet GoTrim usa força bruta para assumir o controle de sites WordPress.

Um novo malware botnet baseado em Go chamado ‘GoTrim’ está escaneando a web em busca de sites WordPress auto-hospedados e tentando forçar a senha do administrador e assumir o controle do site.

GoTrim usa força bruta para assumir o controle de sites WordPress

GoTrim usa força bruta para assumir o controle de sites WordPress

Esse comprometimento pode levar à implantação de malware, injeção de scripts de roubo de cartão de crédito, hospedagem de páginas de phishing e outros cenários de ataque, impactando potencialmente milhões, dependendo da popularidade dos sites violados.

A botnet é notória no submundo do crime cibernético, mas a Fortinet se tornou a primeira empresa de segurança cibernética a analisá-la, relatando que, embora o malware ainda seja um trabalho em andamento, ele já possui recursos potentes.

A campanha de malware GoTrim detectada pela Fortinet começou em setembro de 2022 e ainda está em andamento.

Os operadores do malware alimentam uma longa lista de sites-alvo e um conjunto de credenciais para a rede botnet. O malware então se conecta a cada site e tenta aplicar força bruta nas contas de administrador usando as credenciais inseridas.

Se for bem-sucedido, o GoTrim faz login no site violado e relata a nova infecção ao servidor de comando e controle (C2), incluindo um ID de bot na forma de um hash MD5 recém-gerado.

Em seguida, o malware usa scripts PHP para buscar clientes bot GoTrim de um URL codificado e exclui o script e o componente de força bruta do sistema infectado, pois eles não são mais necessários.

A botnet pode operar em dois modos: “cliente” e “servidor”.

No modo cliente, o malware iniciará a conexão com o C2 do botnet, enquanto no modo servidor, ele iniciará um servidor HTTP e aguardará as solicitações recebidas do C2.

GoTrim usa força bruta para assumir o controle de sites WordPress – Cadeia de ataque de botnet GoTrim (Fortinet)

Se o endpoint violado estiver conectado diretamente à Internet, o padrão do GoTrim é o modo de servidor.

O GoTrim envia solicitações de beacon para C2 a cada dois minutos e, se não receber uma resposta após 100 tentativas, é encerrado.

O C2 pode enviar comandos criptografados para o bot GoTrim, que suporta o seguinte:

  • Valida as credenciais fornecidas nos domínios do WordPress
  • Valida as credenciais fornecidas no Joomla! domínios (não implementado)
  • Valida as credenciais fornecidas nos domínios OpenCart
  • Valida as credenciais fornecidas nos domínios do Data Life Engine (não implementado)
  • Detecta a instalação do WordPress, Joomla!, OpenCart ou Data Life Engine CMS no domínio
  • Encerra o malware

GoTrim usa força bruta para assumir o controle de sites WordPress – Resposta C2 contendo comando para botnet (Fortinet)

Fugindo da detecção

Para evitar a detecção pela equipe de segurança do WordPress, o GoTrim não terá como alvo sites hospedados no Wordpress.com e, em vez disso, terá como alvo apenas sites auto-hospedados.

Isso é feito verificando o cabeçalho HTTP ‘Referer’ para “wordpress.com” e, se detectado, interrompe o direcionamento do site.

“Como os provedores de hospedagem WordPress gerenciados, como wordpress.com, geralmente implementam mais medidas de segurança para monitorar, detectar e bloquear tentativas de força bruta do que sites WordPress auto-hospedados, a chance de sucesso não vale o risco de ser descoberto.”, explica Os pesquisadores.

Além disso, o GoTrim imita o Firefox legítimo em solicitações do Windows de 64 bits para ignorar as proteções anti-bot.

Por fim, se o site WordPress de destino usar um plug-in CAPTCHA para interromper os bots, o malware o detectará e carregará o solucionador correspondente. Atualmente, ele suporta sete plugins populares.

A Fortinet também disse que o botnet GoTrim evita sites hospedados em “1gb.ru”, mas não conseguiu determinar os motivos exatos para isso.

Como proteger seu site Wordpress

Para mitigar a ameaça GoTrim, os proprietários de sites WordPress devem usar senhas de conta de administrador fortes que são difíceis de força bruta ou usar um plug-in 2FA.

Por fim, os administradores do WordPress devem atualizar o software CMS básico e todos os plug-ins ativos no site para a versão mais recente disponível, que corrija as vulnerabilidades conhecidas que os hackers podem aproveitar para o comprometimento inicial.

Deixe um comentário

Sair da versão mobile