BabaYaga

En la mitología y el folklore eslavos, la entidad Baba Yaga está representada como una anciana malvada que secuestra a niños que se portan mal. Sin embargo, en el mundo del cibercrimen, el malware BabaYaga es una amenaza bastante temida que tiene un gran potencial para causar un poco de dolor de cabeza a sus objetivos.

Apunta a una variedad de sitios web

El objetivo principal de la amenaza BabaYaga es comprometer los sitios web y dirigir su tráfico a las páginas que contiene, que están ocultas. Las páginas en cuestión luego dirigirían el tráfico secuestrado a enlaces publicitarios. Los autores del malware BabaYaga generarían ingresos cada vez que un usuario compra un producto o se suscribe a un servicio que se les comercializó a través de esta red sospechosa. La amenaza BabaYaga se dirige a sitios genéricos de PHP, así como a sitios web basados en Joomla, Drupal y WordPress.

Tiene componentes de motor de puerta trasera y spam

El malware BabaYaga consta de dos componentes principales: un motor de spam y una puerta trasera. Para recibir comandos de sus operadores, el malware BabaYaga se asegurará de conectarse al servidor C&C (Comando y Control) de los atacantes. Para ocultar la naturaleza amenazante del componente de puerta trasera, los autores de la amenaza BabaYaga han nombrado los archivos que lo contienen con nombres que suenan legítimos. Gracias a este componente, los operadores tendrían múltiples puertas traseras a su disposición. Una vez que el componente de puerta trasera de BabaYaga haya completado sus tareas con éxito, el motor de spam comenzará a funcionar. El componente del motor de spam puede descargar malware del servidor de C&C de los atacantes e inyectarlo en archivos centrales específicos de WordPress. El motor de spam del malware BabaYaga también puede verificar si la amenaza se ejecuta cuando un usuario visita la página comprometida. También es capaz de determinar si los visitantes de los sitios web son humanos o robots reales. En caso de que el visitante sea confirmado como humano, el motor de spam generará una línea de código JavaScript que asegurará que el tráfico se redirija a un sitio web afiliado que contenga anuncios. Si el usuario compra un producto, los autores del malware BabaYaga recibirán un pago.

Capacidades

El malware BabaYaga también es capaz de:

• Escanear el sitio comprometido y localizar cualquier otro malware que pueda estar presente.
• Eliminar el malware ubicado para garantizar que sea la única amenaza presente en el sistema.
• Se actualiza una vez que hay una actualización disponible.
• Reinstalándose a sí mismo si se elimina con una herramienta antimalware.
• Instalando WordPress.
• Actualización de WordPress.
• Carga de archivos simples y complejos al sistema.
• Propagándose a sitios web adicionales.

Está claro que la amenaza BabaYaga no debe tomarse a la ligera. Esta amenaza opera de manera muy silenciosa y es capaz de secuestrar el tráfico de manera muy eficiente. El hecho de que la amenaza BabaYaga sea capaz de eliminar otro malware es bastante interesante y muy impresionante.