Se han descubierto hasta 47.337 complementos maliciosos en 24.931 sitios web únicos, de los cuales 3.685 complementos se vendieron en mercados legítimos, lo que les generó a los atacantes $41.500 en ingresos ilegales. Los hallazgos provienen de una nueva herramienta llamada YODA que tiene como objetivo detectar complementos de WordPress no autorizados y rastrear su origen, según un estudio de 8 años realizado por un grupo de investigadores del Instituto de Tecnología de Georgia.
Plugin Malicioso
La cantidad de complementos maliciosos en los sitios web ha aumentado constantemente a lo largo de los años, y la actividad maliciosa alcanzó su punto máximo en marzo de 2020. Sorprendentemente, el 94% de los complementos maliciosos instalados durante esos 8 años todavía están activos. Según los investigadores, los atacantes se hicieron pasar por autores de complementos benignos y propagaron malware mediante la distribución de complementos pirateados.
La investigación a gran escala implicó analizar los complementos de WordPress instalados en 410.122 servidores web únicos que se remontan a 2012, y descubrieron que los complementos costaron un total de $ 834.000, fueron infectados después de la implementación por parte de los actores de amenazas.
Herramienta YODA
YODA es una herramienta puede integrarse directamente en un sitio web y un proveedor de alojamiento de servidor web, o implementarse mediante un mercado de complementos. Además de detectar complementos ocultos y manipulados con malware, el marco también se puede usar para identificar la procedencia de un complemento y su propiedad.
Esquema de YODA
A continuación, se muestra un esquema del funcionamiento de YODA:
La integración de YODA es mediante la realización de un análisis de los archivos de código del lado del servidor y los metadatos asociados (por ejemplo, comentarios) para detectar los complementos, seguido de un análisis sintáctico y semántico para señalar el comportamiento malicioso. El modelo semántico da cuenta de una amplia gama de señales de alerta, incluido el shell web, la función para insertar nuevas publicaciones, la ejecución protegida con contraseña de código inyectado, el correo no deseado, la ofuscación de código, el apagón de SEO, el descargador de malware, la publicidad maliciosa y los mineros de criptomonedas.
Entre los hallazgos que resaltan se encuentran:
- 3.452 plugins disponibles en mercados de complementos legítimos facilitaron la inyección de spam.
- 40.533 plugins se infectaron después de la implementación en 18.034 sitios web.
- Los plugins anulados, que son los complementos o temas de WordPress que han sido manipulados para descargar código malicioso en los servidores, representaron 8.525 del total de complementos maliciosos, con aproximadamente el 75 % de los complementos pirateados engañando a los desarrolladores con $228.000 en ingresos.
Con YODA, los propietarios de sitios web y los proveedores de alojamiento pueden identificar complementos maliciosos en el servidor web. Los desarrolladores de complementos y los mercados pueden examinar sus complementos antes de su distribución.
Para mas información: