O botnet KashmirBlack está por trás de ataques a CMS populares, incluindo WordPress, Joomla e Drupal

KashmirBlack is behind WordPress attacks

Pesquisadores da Imperva descobriram que o botnet KashmirBlack, ativo desde o final de 2019, está por trás de ataques a centenas de milhares de sites alimentados por CMS populares, incluindo WordPress, Joomla, PrestaShop, Magneto, Drupal, vBoletim, osCommerce, OpenCart e Yeager.

Como uma regra, uma botnet usa servidores de recursos infectados para extrair criptomoedas, redireciona o tráfego legítimo para sites de spam, usa sites hackeados para atacar outros recursos e manter sua atividade, e às vezes até organiza desfigurações.

KashmirBlack era originalmente um pequeno botnet, mas nos últimos meses cresceu e se tornou uma ameaça capaz de atacar milhares de sites por dia. As mudanças mais radicais na operação de malware ocorreram em maio 2020, quando a botnet expandiu sua infraestrutura de gerenciamento e seu arsenal de explorações.escreva os especialistas.

Por isso, os pesquisadores argumentam que o KashmirBlack é atualmente operado por um C&Servidor C, mas usa mais do que 60 servidores (recursos principalmente comprometidos) em sua infraestrutura.

KashmirBlack está por trás dos ataques WordPress

KashmirBlack interage com centenas de bots, cada um dos quais se comunica com o C&Servidor C para obter uma lista de novos alvos, iniciar ataques de força bruta, instale backdoors e trabalhe na expansão da botnet.disse a empresa em um relatório.

O principal método de distribuição do KashmirBlack é fazer uma varredura na Internet em busca de sites que executem software desatualizado. O malware então usa explorações para várias vulnerabilidades conhecidas para hackear o site vulnerável e assumir o controle de seu servidor.. De acordo com Imperva, o botnet abusa ativamente 16 vulnerabilidades:

  • execução remota de código PHPUnit (CVE-2017-9841);
  • Vulnerabilidade de upload de arquivo jQuery (CVE-2018-9206);
  • Injeção de comando ELFinder (CVE-2019-9194);
  • vulnerabilidade de upload remoto de arquivos no Joomla;
  • Inclusão de arquivo local Magento (CVE-2015-2067);
  • Vulnerabilidade de carregamento de formulário web Magento;
  • o problema de carregar um arquivo arbitrário no CMS Plupload;
  • vulnerabilidade no Yeager CMS (CVE-2015-7571);
  • múltiplas vulnerabilidades, incluindo upload de arquivos e RCE em muitos plugins para diferentes plataformas;
  • Vulnerabilidade RFI do WordPress TimThumb (CVE-2011-4106);
  • Carregar vulnerabilidade RCE
  • Vulnerabilidade RCE no widget vBulletin (CVE-2019-16759);
  • Vulnerabilidade RCE no WordPress install.php;
  • ataque de força bruta no WordPress xmlrpc.php;
  • RCE em vários plug-ins do WordPress (lista completa aqui);
  • RCE em vários temas WordPress (lista completa aqui);
  • vulnerabilidade de upload de arquivo no Webdav.

Os pesquisadores da Imperva observam que, na opinião deles, este botnet é obra de um hacker conhecido pelo pseudônimo Exect1337, participante do grupo de hackers indonésio PhantomGhost.

Deixe-me lembrá-lo sobre as botnets mais agressivas: por exemplo, Botnet IPStorm, que ataca o Android, Dispositivos macOS e Linux, e Botnet de propaganda Drácula.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *