Fueron instalados en casi 25.000 sitios generando a los atacantes $41.500 en ingresos ilegales
Se han descubierto hasta 47.337 plugins maliciosos en 24.931 sitios web únicos, de los cuales 3.685 plugins se vendieron en mercados legítimos, lo que les generó a los atacantes $41.500 en ingresos ilegales.
Los hallazgos provienen de una nueva herramienta llamada YODA que tiene como objetivo detectar plugins de WordPress no autorizados y rastrear su origen, según un estudio de 8 años realizado por un grupo de investigadores del Instituto de Tecnología de Georgia.
"Los atacantes se hicieron pasar por autores de plugins benignos y propagaron malware mediante la distribución de plugins pirateados", dijeron los investigadores en un nuevo artículo titulado "Mistrust Plugins You Must (Confiar en los complementos que debes)".
"La cantidad de plugins maliciosos en los sitios web ha aumentado constantemente a lo largo de los años, y la actividad maliciosa alcanzó su punto máximo en marzo de 2020. Sorprendentemente, el 94% de los plugins maliciosos instalados durante esos 8 años todavía están activos hoy".
La investigación a gran escala implicó analizar los plugins de WordPress instalados en 410.122 servidores web únicos que se remontan a 2012, y descubrió que los plugins que costaron un total de $ 834.000 fueron infectados después de la implementación por parte de los actores de amenazas.
YODA puede integrarse directamente en un sitio web y un proveedor de alojamiento de servidor web, o implementarse mediante un mercado de plugins. Además de detectar plugins ocultos y manipulados con malware, el framework también se puede usar para identificar la procedencia de un plugin y su propiedad.
Lo logra mediante la realización de un análisis de los archivos de código del lado del servidor y los metadatos asociados (por ejemplo, comentarios) para detectar los plugins, seguido de un análisis sintáctico y semántico para señalar el comportamiento malicioso.
El modelo semántico da cuenta de una amplia gama de señales de alerta, que incluyen shells web, función para insertar nuevas publicaciones, ejecución protegida con contraseña de código inyectado, correo no deseado, ofuscación de código, bloqueo de SEO, descargadores de malware, publicidad maliciosa y mineros de criptomonedas.
Algunos de los otros notables hallazgos son los siguientes:
• 3.452 plugins disponibles en mercados de plugins legítimos facilitaron la inyección de spam
• 40.533 plugins se infectaron después de la implementación en 18.034 sitios web
• Los plugins anulados (los plugins o temas de WordPress que han sido manipulados para descargar código malicioso en los servidores) representaron 8.525 del total de plugins maliciosos, con aproximadamente el 75% de los plugins pirateados engañando a los desarrolladores con $228.000 en ingresos.
"Usando YODA, los propietarios de sitios web y los proveedores de alojamiento pueden identificar plugins maliciosos en el servidor web; los desarrolladores de plugins y los mercados pueden examinar sus plugins antes de distribuirlos", señalaron los investigadores.
