Menú

La botnet de spam con un script PHP malicioso encontrado en 5.000 sitios pirateados

Un script PHP malicioso encontrado en más de 5,000 sitios web comprometidos ha sido señalado como el origen de una campaña de spam a gran escala. El propósito de este script es mantener los sitios pirateados bajo el control de un grupo de ciberdelincuentes y administrar las redirecciones dinámicas a varias campañas de spam.

El script es parte de la botnet “Brain Food”

La botnet de spam voraz llamada “Brain Food”, las campañas de correo no deseado impulsadas por esta botnet se han detectado en marzo de 2017, pero sus operaciones fueron disecadas la semana pasada por el investigador de Proofpoint, Andrew Conway.

Conway dice que los operadores de botnets ponen en peligro sitios web y dejan este script atrás. El script les permite ejecutar código bajo demanda, pero su función principal es actuar como un punto de redirección en las operaciones de spam a gran escala.

Los administradores de botnets de Brain Food operan mediante el envío de spam a las víctimas que contienen enlaces cortos a estos scripts PHP en varios sitios pirateados.

Si un usuario hace clic en los enlaces cortos, llegan al script PHP, que redirige al usuario a otro sitio pirateado que aloja páginas web para píldoras que aumentan la dieta y la inteligencia, que generalmente contienen marcas falsas.

Los scripts PHP son capaces de recibir nuevos “objetivos de redireccionamiento” de los operadores de Brain Food basados ​​en la campaña de spam más reciente que están impulsando. Los scripts también recopilan estadísticas de clics para cada campaña.

Más de 2,400 sitios activos en los últimos siete días

Rastrearon más de 5,000 sitios que contienen copias de estos scripts PHP, con la gran mayoría encontrada en la red de GoDaddy. Más de 2,400 estuvieron activos la semana pasada, según Conway.

El botnet no parece estar viviendo de vulnerabilidades específicas en ciertas plataformas CMS, se compone de sitios pirateados que se ejecutan en una multitud de plataformas, como WordPress, Joomla y otros.

El código del script también es polimórfico y ofuscado con múltiples capas de codificación base64. Además, también incluye protección contra la indexación automática de Google, respondiendo al rastreador de búsqueda de Google con un código 404 “error de página no encontrada”.

Si bien la red zombi es inofensiva para los usuarios finales, empujando solo el contenido no deseado, es peligroso para los sitios infectados, principalmente debido a sus capacidades similares a las puertas traseras que permiten a los operadores de botnets ejecutar cualquier código que quieran en cualquier momento.