Header Ads Widget

Ticker

6/recent/ticker-posts

KashmirBlack botnet aprovecha los sitios de WordPress para minar cripto

 Los investigadores de Imperva han documentado las operaciones de una botnet llamada KashmirBlack , que se creía que estaban detrás de los ataques contra WordPress, Drupal y otros CMS . El grupo ha crecido mucho para infectar miles de sitios por día y utilizar sus servidores subyacentes para minar criptomonedas y redirecciones de spam.

Sitios de piratería para minar criptomonedas

CachemiraBlack Botnet
CachemiraBlack Botnet

La minería de criptomonedas necesita amplios recursos para funcionar. Si bien se puede hacer en computadoras y teléfonos básicos, no obtienen más que cacahuetes. Por lo tanto, el uso de servidores y GPU de alta gama es efectivo. Si bien estos cuestan mucho, piratearlos para ejecutar software de minería y acuñar monedas es fácil. Esto lo practica una botnet llamada KashmirBlack .

Según los informes ( 1, 2 ) de Imperva , una empresa de ciberseguridad, se dice que un grupo de botnets llamado KashmirBlack está detrás del ataque contra CMS como WordPress , Joomla !, Drupal, PrestaShop, Magneto, osCommerce, vBulletin, Yeager y OpenCart. . Los investigadores afirman que el operador de KashmirBlack Exect1337 , un miembro de la tripulación de piratas informáticos de Indonesia PhantomGhost, está escaneando Internet en busca de sitios de destino.

El grupo (o una persona) busca inicialmente sitios que ejecutan software antiguo y los explota con vulnerabilidades conocidas. Después de secuestrarlos, instalan la toma de control de los servidores subyacentes para usarlos en la minería de criptomonedas, redirigir el tráfico a sitios de spam y mostrar deformaciones web.

Los investigadores dicen que el grupo de botnets comenzó sus operaciones en noviembre del año pasado y ha crecido mucho desde entonces.

Se volvió sofisticado en mayo de este año, donde actualizó su servidor C2 y pudo infectar miles de sitios por día. Hasta la fecha, se creía que infectaba cientos de miles de sitios web atacando su CMS subyacente o algunos componentes de esos CMS.

Ahora está administrado " por un servidor C&C (Command and Control) y utiliza más de 60 servidores, en su mayoría sustitutos inocentes, como parte de su infraestructura " , dijeron los investigadores de Imperva.

Además, “ [La botnet] maneja cientos de bots, cada uno de los cuales se comunica con el C&C para recibir nuevos objetivos, realizar ataques de fuerza bruta, instalar puertas traseras y expandir el tamaño de la botnet. "

Desde su inicio, se dice que la botnet está abusando de sitios de todo el mundo que tenían estas vulnerabilidades;

  1. WordPress install.php RCE
  2. Ataque de fuerza bruta de inicio de sesión de WordPress xmlrpc.php
  3. Complementos múltiples de WordPress RCE
  4. WordPress múltiples temas RCE
  5. Vulnerabilidad de RFI de WordPress TimThumb - CVE-2011-4106
  6. Vulnerabilidad de carga de archivos Webdav
  7. Joomla! vulnerabilidad de carga remota de archivos
  8. Inclusión de archivos locales de Magento - CVE-2015-2067
  9. Vulnerabilidad de Yeager CMS - CVE-2015-7571
  10. Ejecución remota de código PHPUnit - CVE-2017-9841
  11. Vulnerabilidad de carga de archivos jQuery - CVE-2018-9206
  12. Inyección de comandos ELFinder - CVE-2019-9194
  13. Widget de vBulletin RCE - CVE-2019-16759
  14. Subir vulnerabilidad RCE

Publicar un comentario

0 Comentarios