Se han descubierto hasta 47 337 complementos maliciosos en 24 931 sitios web únicos, de los cuales 3685 complementos se vendieron en mercados legítimos, lo que les generó a los atacantes $41 500 en ingresos ilegales.
Los hallazgos provienen de una nueva herramienta llamada Yoda que tiene como objetivo detectar complementos de WordPress maliciosos y rastrear su origen, según un estudio de 8 años realizado por un grupo de investigadores del Instituto de Tecnología de Georgia.
“Los atacantes se hicieron pasar por autores de complementos benignos y propagaron malware mediante la distribución de complementos pirateados”, dijeron los investigadores. dijo en un nuevo artículo titulado “Complementos de desconfianza que debes.”
“La cantidad de complementos maliciosos en los sitios web ha aumentado constantemente a lo largo de los años, y la actividad maliciosa alcanzó su punto máximo en marzo de 2020. Sorprendentemente, el 94% de los complementos maliciosos instalados durante esos 8 años todavía están activos hoy”.
La investigación a gran escala implicó analizar los complementos de WordPress instalados en 410 122 servidores web únicos que se remontan a 2012, y descubrió que los complementos que costaron un total de $ 834 000 fueron infectados después de la implementación por parte de los actores de amenazas.
YODA puede integrarse directamente en un sitio web y un proveedor de alojamiento de servidor web, o implementarse mediante un mercado de complementos. Además de detectar complementos ocultos y manipulados con malware, el marco también se puede usar para identificar la procedencia de un complemento y su propiedad.
Lo logra mediante la realización de un análisis de los archivos de código del lado del servidor y los metadatos asociados (p. ej., comentarios) para detectar los complementos, seguido de un análisis sintáctico y semántico para señalar el comportamiento malicioso.
El modelo semántico da cuenta de una amplia gama de señales de alerta, incluido el shell web, la función para insertar nuevas publicaciones, la ejecución protegida con contraseña de código inyectado, el correo no deseado, la ofuscación de código, el apagón de SEO, el descargador de malware, la publicidad maliciosa y los mineros de criptomonedas.
Algunos de los hallazgos notables son los siguientes:
- 3452 complementos disponibles en mercados de complementos legítimos facilitaron la inyección de spam
- 40 533 complementos se infectaron después de la implementación en 18 034 sitios web
- Los complementos anulados (los complementos o temas de WordPress que han sido manipulados para descargar código malicioso en los servidores) representaron 8525 del total de complementos maliciosos, con aproximadamente el 75 % de los complementos pirateados engañando a los desarrolladores con $228 000 en ingresos.
“Usando YODA, los propietarios de sitios web y los proveedores de alojamiento pueden identificar complementos maliciosos en el servidor web; los desarrolladores de complementos y los mercados pueden examinar sus complementos antes de distribuirlos”, señalaron los investigadores.
About the Author
