Los operadores de phishing hacen uso inmediato de sitios web abandonados como cebo

Los atacantes se dirigen cada vez más a sitios web abandonados y apenas mantenidos para alojar páginas de phishing, según un nuevo estudio de Kaspersky.

En muchos casos, los phishers se centran en los sitios de WordPress debido a la gran cantidad de vulnerabilidades conocidas en el sistema de administración de contenido ampliamente utilizado y sus numerosos complementos.

Gran cantidad de sitios web comprometidos

Los investigadores de Kaspersky contaron recientemente 22,400 sitios web únicos de WordPress que los actores de amenazas habían comprometido entre mediados del 15 de mayo y finales de julio para alojar páginas de phishing. El número incluía sitios web a los que los atacantes podían acceder literalmente porque proporcionaban acceso abierto al panel de control, así como sitios a los que los atacantes tenían que entrar mediante la explotación de vulnerabilidades, el robo de credenciales y otros medios. Kaspersky detectó 200,213 intentos de usuarios de visitar páginas de phishing que los actores de amenazas habían alojado en estos sitios web.

"Tanto los sitios web descuidados durante mucho tiempo como los que se mantienen activamente pueden ser objeto de esta forma", dijo Kaspersky en un comunicado. informar esta semana. “En particular, los piratas informáticos tienden a comprometer sitios web más pequeños cuyos propietarios no pueden reconocer su presencia de inmediato”.

El phishing sigue siendo uno de los vectores de acceso inicial más populares para los atacantes debido al éxito que han tenido con él. Fundamental para ese éxito es su capacidad para crear sitios web y páginas convincentes en los que los usuarios puedan confiar lo suficiente como para compartir sus credenciales y otra información confidencial.

Los investigadores de Kaspersky descubrieron que, para mejorar la estafa, los operadores de phishing a veces dejan intacta la funcionalidad principal de un sitio web comprometido incluso cuando publican páginas de phishing en el sitio. “Un visitante nunca adivinaría que el sitio ha sido pirateado: cada sección está donde se supone que debe estar y solo se puede ver la información relevante”, dijo Kaspersky. En cambio, los atacantes ocultan sus páginas de phishing dentro de nuevos directorios a los que no se puede acceder en el menú del sitio web, dijo el proveedor de seguridad.

Recoge fácil

Los dominios descuidados durante mucho tiempo también son atractivos para los atacantes porque las páginas de phishing también pueden permanecer activas en ellos durante un período prolongado. Esto puede ser especialmente significativo para los atacantes dado el ciclo de vida relativamente breve de las páginas de phishing en general. En diciembre de 2021, Kaspersky publicó un informe que resumía su análisis del ciclo de vida de las páginas de phishing. El estudio mostró que el 33% de las páginas de phishing se volvieron inactivas un solo día después de su lanzamiento. De las 5,307 páginas de phishing que los investigadores de Kaspersky analizaron para el estudio, 1,784 dejaron de funcionar después del primer día, y muchas quedaron inactivas en las primeras horas. La mitad de todas las páginas del estudio dejaron de existir después de 94 horas.

Para los atacantes, la tarea de irrumpir en sitios web abandonados y con poco mantenimiento suele ser sencilla debido a la agujeros de seguridad que existen en el ambiente. Apenas el año pasado, investigadores y proveedores reveló un total de 2,370 vulnerabilidades en WordPress y plugins. Los más comunes incluyen secuencias de comandos entre sitios, omisión de autorización, inyección de SQL y divulgación de información.

Kaspersky descubrió que, por lo general, cuando un atacante ingresa a un sitio de WordPress a través de una vulnerabilidad, carga un shell web WSO, que es un script de shell malicioso que permite a los atacantes tener un control remoto completo sobre el sitio web. Luego, los atacantes usan el shell web para ingresar al panel de administración del sitio web comprometido y comenzar a colocar páginas falsas en él. También usan el panel de control para almacenar credenciales, datos de tarjetas bancarias y otra información confidencial que un usuario puede ser engañado para ingresar en el sitio web. Cuando un atacante deja abierto el acceso al panel de control, cualquier persona en Internet puede acceder a los datos, dijo Kaspersky.

“Ciberdelincuentes experimentados piratean sitios web legítimos como una forma de establecer trampas de phishing”, dijo Kaspersky. “Tanto los sitios web descuidados durante mucho tiempo como los que se mantienen activamente pueden ser objeto de esta forma”, especialmente cuando los sitios web son pequeños y los operadores están mal equipados para detectar actividades maliciosas.

El blog de Kaspersky ofreció consejos sobre cómo los operadores de sitios web de WordPress pueden detectar si un atacante ha pirateado su sitio web y lo está utilizando para alojar páginas de phishing.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait