BabaYaga: O malware do WordPress que recebe outro malware

  • Quarta, 6th Junho, 2018
  • 14:54pm

Recentemente, os analistas da Defiant têm acompanhado uma infecção por malware particularmente sofisticada, responsável por gerar links e redirecionamentos de spam, embora ainda seja relativamente difícil para as vítimas detectarem.

Apelidado de " BabaYaga " por nossa equipe, esta infecção é notável por conter código capaz de remover sua concorrência. BabaYaga, na verdade, tem a capacidade de remover outros malwares.

Embora este malware não seja novo, chamou nossa atenção com uma ampla gama de recursos propícios à infecção persistente. Nenhuma dessas contramedidas é inovadora individualmente, mas, como um todo, elas compreendem um conjunto de funcionalidades incomumente abrangente e eficaz para os usuários de spam.

No post de hoje, estamos publicando um abrangente white paper sobre o funcionamento e a detecção de BabaYaga . O documento inclui um detalhamento das funções que o malware oferece, incluindo sua capacidade de manter o WordPress e detectar e remover outras variantes de malware. Para os nossos colegas do setor, incluímos indicadores de compromisso na forma de assinaturas YARA, IPs e nomes de host, em um apêndice.

Esta postagem do blog fornece um resumo de nossas descobertas para proprietários de sites do WordPress.

A carga útil

A principal função do BabaYaga é gerar conteúdo de spam para ser hospedado no site da vítima. Estas páginas estão cheias de palavras-chave pesadas e sem sentido, criadas para atrair o tráfego dos motores de pesquisa com base nessas palavras-chave.

No caso de amostra que estudamos, o mercado-alvo era comum para os spammers: serviços de redação.

Um exemplo de resultados de pesquisa do Google para um site afetado pela campanha de spam do BabaYaga.

A recompensa para esses spammers vem na forma de serviços de marketing afiliado. Quando um visitante humano chega a uma página infectada do site depois de seguir um link de uma pesquisa, o JavaScript incorporado executa um redirecionamento mal-intencionado para um site afiliado. Todas as compras feitas no site de destino geram renda para o invasor e, nesse ponto, ele se torna um jogo de números.

Embora a maioria de nossos leitores provavelmente seja experiente o bastante para identificar um redirecionamento malicioso para um site suspeito e partir, um número modesto de indivíduos menos atentos resultaria em um pagamento respeitável para o adversário.

Infecção Persistente

Como mencionado acima, a novidade de BabaYaga deriva do uso de várias contramedidas, cada uma com a intenção de assegurar que permaneça ativa em seu hospedeiro.

Os arquivos primários da infecção, responsáveis ​​por gerar conteúdo de spam, contêm cópias idênticas do mesmo código, mas ofuscadas (ocultas) com diferentes técnicas. Essa redundância oferece ao atacante algum nível de seguro de que, se um ou mais arquivos infectados forem capturados e remediados, ainda poderá haver mais que não foram detectados.

Esses arquivos apresentam várias funções de backdoor que podem facilitar o início de uma reinfecção completa se um único arquivo infectado ainda estiver presente.

O BabaYaga possui um número de backdoors embutidos, incluindo este uploader de arquivo retirado do WSO Shell.

Alguns dos recursos de persistência presentes na infecção BabaYaga incluem:

  • Recursos "Phone-home", que permitem que o script extraia cópias novas e potencialmente atualizadas de si mesmo de um servidor de controle.
  • Dois uploaders de arquivos distintos, usados ​​pelos atacantes para fazer o upload manual de arquivos arbitrários para os sites das vítimas.
  • Distribuição de diretório compartilhado, infectando automaticamente vários sites dentro da mesma estrutura de diretórios pai típica das contas de hospedagem compartilhada.
  • WSO Shell, um shell da web PHP popular e completo que dá a um invasor acesso a um gerenciador de arquivos, execução de comando de shell e muito mais.
  • Diversas instâncias de arquivos de índice de placeholder - os arquivos “Silence is golden.”, Normalmente encontrados em diretórios de temas e plug-ins - possuem funções de execução remota de código arbitrárias injetadas neles.

Juntas, todas essas medidas oferecem ao invasor várias opções para restabelecer uma infecção ou fazer alterações na funcionalidade da própria infecção.

Simbiose

Como grande parte da funcionalidade primária do BabaYaga é executada junto com o WordPress no carregamento da página, é necessário que o aplicativo esteja funcionando corretamente. Se algo quebrar o WordPress, os scripts maliciosos não serão executados quando uma página for visitada.

Para este fim, BabaYaga emprega dois recursos que seriam realmente úteis se não fosse pela intenção maliciosa:

Primeiro, o malware inclui recursos que o invasor pode usar para reparar ou atualizar o próprio software aplicativo WordPress. Ele até lida com a criação e limpeza de arquivos de backup, no caso de uma atualização falhar.

Em segundo lugar, BabaYaga possui mais de um bloco de código usado para identificação e remoção de malware rudimentar. Em outras palavras, o BabaYaga contém seu próprio recurso anti-malware para remover outro malware que possa quebrar um site que ele ocupa.

Um exemplo de código presente no BabaYaga que pode realizar identificação básica e remoção de malwares concorrentes.

O raciocínio é simples: um bom parasita quer manter seu hospedeiro vivo. Se tudo estiver funcionando corretamente, o proprietário de um site afetado pode ir sem saber que algo está errado indefinidamente. No entanto, se um invasor menos furtivo encontrar o caminho ou o site ficar inativo por vários outros motivos, o administrador do site será forçado a dar uma olhada no que está acontecendo.

Um administrador que esteja investigando o sistema de arquivos do site pode encontrar um indicador de comprometimento, o que obviamente não é ideal para o BabaYaga, então ele faz algumas tarefas domésticas para evitar a detecção.

« Retornar

ico-whatsapp
Dúvidas por WhatsApp
ico-chat
Dúvidas por Web Chat
ico-ticket.png
Abrir ticket Suporte