Análisis de malware

Malware destacado: ¿Qué es BabaYaga?

diciembre 18, por Greg Belding

Introducción

En las culturas eslavas tradicionales, Baba Yaga es una entidad que acecha en los sueños de los niños y una amenaza común que los padres utilizan cuando sus hijos se portan mal. Pero en el mundo del malware, BabaYaga es una forma de malware que puede actualizarse, utilizar funciones antivirus y más. Al igual que la criatura mítica, el malware BabaYaga tiene el potencial de perseguir a los administradores de WordPress y al personal de soporte de TI.

Este artículo explorará BabaYaga: qué es y cómo funciona. Concluiremos con una discusión sobre la necesidad de reconocer ampliamente a BabaYaga como un nuevo tipo de malware.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

¿Qué es Baba Yaga?

BabaYaga es una variante de malware y la primera de un nuevo tipo de malware: malware que destruye malware. Infecta sitios web de WordPress, Drupal, Joomla y PHP genérico.

El enfoque de BabaYaga radica en el ámbito del SEO. BabaYaga puede dirigir el tráfico a sitios comprometidos; más exactamente, a las páginas ocultas que contiene. Estas páginas ocultas luego redirigen este tráfico a enlaces de marketing de afiliados. Si el usuario comprometido acaba comprando un producto anunciado, los atacantes obtendrán beneficios de la venta.

Quizás esté pensando que se trata de otro tipo de malware de WordPress y de lo único que debe preocuparse es de cambiar su contraseña con regularidad. Adivina de nuevo: BabaYaga es único en su clase. De hecho, BabaYaga tiene la capacidad única de eliminar otro malware. Una vez detectado como una infección, puede actualizar automáticamente WordPress (¡algunos pueden ver esto como algo positivo!) e incluso limpiarlo.

Descubierto por los investigadores de seguridad responsables del complemento de seguridad Wordfence en Deviant, BabaYaga era tan sofisticado e interesante que publicaron un documento técnico con un análisis profundo del mismo. El documento técnico se redactó para ayudar a los administradores de WordPress y a los analistas de amenazas con este tipo emergente de malware.

¿Cómo funciona BabaYaga?

Como se mencionó anteriormente, BabaYaga exhibe varias habilidades notables que lo convierten en una nueva fuerza en el mundo del malware. Estas habilidades incluyen:

• Detectar y eliminar malware que ha infectado un sitio web que BabaYaga ha infectado: mover el campo de juego del malware de una mera proliferación a una proliferación dentro del mejor entorno posible.
• Actualizando WordPress
• Instalación de WordPress
• Autoreubicación para evitar acciones de detección y mitigación
• Contiene archivos para reinstalarse si se elimina mediante una solución antivirus legítima
• Determinar si un visitante de un sitio infectado es un robot legítimo, un ser humano o un robot de motor de búsqueda, por ejemplo, obteniendo identificadores de robot de motor de búsqueda.
• spam SEO
• Crear copias de seguridad y luego actualizar WordPress
• Crear copias de seguridad, actualizar WordPress y luego eliminar las copias de seguridad
• Eliminar cualquier copia de seguridad existente
• Instalación de puertas traseras para que se instale otro malware
• Propagación de infecciones a otros sitios web
• Carga de archivos (tanto simples como complejos)

Aparte de la funcionalidad antivirus obvia, es evidente que BabaYaga tiene una gran cantidad de redundancia incorporada. Esto proporciona a los atacantes cierta seguridad, ya que tienen varias contramedidas disponibles en caso de que el malware sea detectado y/o eliminado del sitio comprometido.

Anatomía de BabaYaga

Esta variante de malware se compone de dos partes separadas: la puerta trasera y el motor de spam. También hay un servidor de comando y control, o servidor C2, que controla el malware.

Porción de puerta trasera

La parte de puerta trasera de este malware se puede encontrar sólo en unos pocos archivos en diferentes lugares del sitio web de WordPress comprometido. Esto se hace (en parte) disfrazando los nombres de archivos maliciosos como nombres mundanos que suenan legítimos para mezclarse. Por ejemplo, ms-menu.php es un nombre de archivo malicioso que parece totalmente legítimo.

Esta parte del malware tiene muchas capacidades y es la que realiza el trabajo pesado. Algunas de las capacidades incluyen:

• Información de versión
• Carga de archivos sencilla
• Carga de archivos complejos
• Ejecución de código PHP
• Auto-reubicación
• Copias de seguridad y actualizaciones
• Limpieza de malware

BabaYaga proporciona varias puertas traseras para que las utilicen sus atacantes, al mismo tiempo que hace un intento sólido de permanecer invisible en el sitio de WordPress comprometido.

motor de spam

Mientras que la parte de la puerta trasera hace el trabajo preliminar, el motor de spam cumple el propósito de BabaYaga: spam SEO. La parte del malware descarga archivos maliciosos del servidor C2, infecta los archivos centrales de WordPress y garantiza la ejecución. Esta porción también:

• Prueba si el malware se ejecuta durante una visita a la página
• Representación del sitio sin ejecutar el malware
• Genera plantillas de spam
• Obtiene identificadores de bots de motores de búsqueda
• El spam SEO en sí (el propósito del malware)

BabaYaga puede determinar si el visitante del sitio es un humano o un robot de motor de búsqueda. Si el visitante del sitio es un humano, se representa una página de spam con una línea de JavaScript en la parte superior. Esta línea adicional de código es lo que redirige el tráfico a una página de afiliado y puede generarle a los atacantes $15 por conversión.

Conclusión

BabaYaga es una amenaza de malware emergente que merece ser ampliamente reconocida como un nuevo tipo de malware: malware que destruye malware.

Tiene muchas capacidades únicas que otros programas maliciosos no suelen exhibir, todo en un solo paquete, incluida la funcionalidad antivirus, la capacidad de actualización automática, la determinación de si un visitante del sitio es un ser humano o no (lo que determina cómo actuará el malware ante la interacción del usuario) y SEO. capacidades de spam que explican la existencia del malware.

En palabras del equipo que descubrió esta variante de malware: “BabaYaga es una amenaza emergente que es más sofisticada que la mayoría del malware”.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Fuentes

1. BabaYaga: el malware de WordPress que se cura automáticamente , Wordfence
2. LOL: BabaYaga WordPress Malware actualiza su sitio , Bleeping Computer
3. BabaYaga: el malware de WordPress que se come a otros malware , Wordfence