Una de las noticias de la semana pasada fue el descubrimiento de una botnet de sistemas Wordpress que intentaban atacar a otros Wordpress no infectados. El número de instalaciones infectadas superaba los 20.000, aunque no se descarta un aumento en los días que han transcurrido. El ataque que los Wordpress infectados realizaban contra los otros sistemas Wordpress NO infectados no era un ataque complejo, pero al fin y al cabo, sí efectivo por lo que parece.

La empresa del Wordfence, propietaria de un plugin de Wordpress que implementa un sistema de firewall para la aplicación, fue la que descubrió el ataque y ha publicado un reporte muy profundo sobre el ataque, incluyendo desde dónde se enviaban las instrucciones mediante los C2 o Command and Control.

¿Cómo detectaron los ataques?

Según explican en su reporte detectaron, en el último mes, más de cinco millones de intentos de acceso. Estos intentos de acceso iban desde instalaciones de Wordpress infectadas, o supuestamente infectadas, contra otras instalaciones de Wordpress que no lo estarían.

¿Cómo se realiza el ataque?

El ataque es básico, es lo que se llama un ataque de diccionario. Es decir, los sitios infectados van probando ciertas credenciales. Si el ataque tiene acceso se consigue acceso al sistema, por lo que se podrá infectar y ser parte de la botnet. El investigador Mikey Veenstra comentó que la empresa de Wordfence identificó cuatro servidores C2 o Command and Control que son los encargados de enviar las instrucciones al resto de instalaciones infectadas.

¿Cómo envían las instrucciones de ataque a las instalaciones infectadas?

Los C&C envían las instrucciones a través de un conjunto de máquinas o red de más de 14.000 proxies. Estos proxies están alquilados al servicio Best Proxies, los cuales transmiten la información a scripts maliciosos ubicados en las instalaciones de Wordpress infectadas.

Contenido completo en fuente original El Lado del Mal