Un nuevo ataque por fuerza bruta basado en Golang llamado GoTrim está escaneando internet en busca de sitios web WordPress en todo tipo de proveedor de hosting y tratando de obtener control de las cuentas de administrador de sitios WordPress. La botnet comenzó la campaña en septiembre y todavía está en marcha.
Según los investigadores de Fortinet, GoTrim utiliza una red de bots para realizar ataques de fuerza bruta distribuidos contra una larga lista de sitios web objetivo. En caso de éxito en el ataque de fuerza bruta, se instala un cliente de bot en el sistema recién comprometido utilizando scripts PHP maliciosos. Informa las credenciales al servidor C2, incluyendo una ID de bot en forma de un hash MD5 generado recientemente. Cada script PHP recupera clientes de bot GoTrim de una URL codificada en duro y los ejecuta. Para ocultar sus pistas, elimina tanto el script como el componente de fuerza bruta del sistema infectado.
Comportamiento del malware
GoTrim se comunica con su C2 en dos modos diferentes: el modo cliente y el modo servidor. En el modo cliente, envía solicitudes HTTP POST al servidor C2, mientras que en el modo servidor, inicia un servidor HTTP y espera solicitudes entrantes del C2. Por defecto, se pone en modo servidor si el sistema infectado está conectado directamente a internet, de lo contrario, cambia al modo cliente. Después de eso, envía solicitudes de señal al C2 y, si no recibe una respuesta después de 100 reintentos, termina. El C2 envía comandos cifrados al bot GoTrim para identificar las CMS (WordPress, Joomla, OpenCart y DataLife Engine) en el sitio web objetivo y validar las credenciales proporcionadas contra ellas.
Técnicas de bypass
La botnet detecta y evita las técnicas anti-bot utilizadas por los proveedores de alojamiento web y las CDN, como Cloudflare y SiteGround. El malware puede imitar solicitudes legítimas de Firefox en Windows de 64 bits para evitar las protecciones anti-bot. Contiene código para evitar el CAPTCHA de siete plugins populares instalados en sitios web de WordPress. En caso de éxito en el bypass, envía el estado de fuerza bruta 3GOOD, de lo contrario, solo los informa al servidor C2 actualizando el mensaje de estado global.
En conclusión, los investigadores han encontrado variantes modificadas de GoTrim, lo que indica que todavía está en desarrollo. Sin embargo, es un brute force de WordPress completamente funcional combinado con sus técnicas de evasión anti-bot, lo que lo convierte en una amenaza digna de mención. Se recomienda a los propietarios de sitios web de WordPress que utilicen contraseñas de cuenta de administrador más fuertes y que actualicen el software de CMS base y todos los plugins activos del sitio a la última versión disponible para mitigar este tipo de amenazas.
Fuente: cyware. Traducido con AI chatGPT.
