La Botnet de fuerza bruta ”GoTrim” escanea continuamente Internet en busca de sitios de WordPress

Una nueva botnet de fuerza bruta está escaneando continuamente Internet en busca de sitios WordPress, intentando obtener el control de las cuentas de administrador. La botnet comenzó la campaña en septiembre y aún continúa. Según los investigadores de Fortinet, GoTrim utiliza una red de bots para realizar ataques distribuidos de fuerza bruta contra una larga […]

Una nueva botnet de fuerza bruta está escaneando continuamente Internet en busca de sitios WordPress, intentando obtener el control de las cuentas de administrador.

La botnet comenzó la campaña en septiembre y aún continúa.

Según los investigadores de Fortinet, GoTrim utiliza una red de bots para realizar ataques distribuidos de fuerza bruta contra una larga lista de sitios web objetivo.

Si el ataque de fuerza bruta es exitoso, se instala un cliente bot en el sistema comprometido, utilizando scripts PHP maliciosos. Luego, informa las credenciales al servidor C2, incluida una ID de bot en forma de un hash MD5 recién generado.
Cada secuencia de comandos PHP obtiene los clientes del bot GoTrim de una URL codificada y la ejecuta.

Para cubrir el rastro, elimina tanto el script como el componente de fuerza bruta del sistema infectado.

Comportamiento del software malicioso

GoTrim se comunica con su C2 en dos modos diferentes: el modo cliente y el modo servidor. En modo cliente, envía solicitudes HTTP POST al servidor C2, mientras que en modo servidor inicia un servidor HTTP y espera las solicitudes entrantes del C2.

Queda por defecto el modo de servidor si el sistema infectado está conectado directamente a Internet; de lo contrario, cambia al modo de cliente. Después de eso, envía solicitudes de baliza a C2 y, si no recibe una respuesta después de 100 reintentos, finaliza.

El C2 envía comandos encriptados al bot GoTrim para identificar los CMS (WordPress, Joomla, OpenCart y DataLife Engine) en el sitio web de destino y validar las credenciales proporcionadas contra ellos.

La botnet detecta y evade las técnicas anti-bot utilizadas por los proveedores de alojamiento web y CDN, como Cloudflare y SiteGround. El malware puede imitar a Firefox legítimo en solicitudes de Windows de 64 bits para eludir las protecciones anti-bot.

Además, contiene código para omitir el CAPTCHA para siete complementos populares instalados en sitios web de WordPress. En una omisión exitosa, envía el estado de fuerza bruta 3GOOD, de lo contrario, solo los informa al servidor C2 actualizando el mensaje de estado global.

GoTrim está en evolución, por lo que podría ir mutando a versiones más potentes. Sumado a eso, la fuerza bruta aplicada a WordPress se vuelve sumamente funcional ya que combina las técnicas de evasión anti-bot, por ende, es recomendable que los administradores de sitios basados en este CMS actualicen sus contraseñas junto con las últimas versiones de los complementos que utilizan.