Un viejo malware está asaltando la comunidad de WordPress, permitiendo a sus autores tomar el control de los sitios e inyectar el código de su elección.
Según la compañía de seguridad de WordPress Wordfence, que publicó un minucioso documento sobre el malware a principios de esta semana, WP-VCD no es un malware nuevo. Se remonta a febrero de 2017, pero recientemente se ha vuelto aún más exitoso. La empresa dice que ha encabezado su lista de infecciones de malware de WordPress desde agosto de este año. Se han agregado nuevas funciones al malware, pero sus funciones principales siguen siendo las mismas.
El malware se propaga a través de versiones pirateadas de temas y complementos de WordPress, que los atacantes distribuyen, a través de una red de sitios corruptos.
Aquellos administradores que buscan funcionalidades gratis de WordPress descargan estos activos y los usan en sus propios sitios de WordPress, entonces básicamente ha infectado sus propios servidores.
Este es un vector de ataque ingenioso porque los delincuentes que distribuyen los complementos no tienen que preocuparse por encontrar nuevas vulnerabilidades en el código de WordPress o piratear extensiones legítimas. En cambio, como explica Wordfence, los delincuentes están explotando la codicia humana:
La distribución de esta campaña no se basa en explotar nuevas vulnerabilidades de software o descifrar credenciales de inicio de sesión, simplemente se basa en que los propietarios de sitios de WordPress buscan acceso gratuito a software pago.
Una vez que ha infectado un sitio, el malware instala una puerta trasera para sus operadores y se comunica con su servidor de comando y control (C2) antes de propagarse a otros alojados en la misma infraestructura. Finalmente, elimina el código malicioso en el plugin instalado para cubrir sus huellas.
La puerta trasera permite a los atacantes actualizar el sitio con un nuevo código malicioso, lo que genera dinero de dos maneras. Primero, utilizando técnicas de envenenamiento de motores de búsqueda para manipular los resultados y atraer a los usuarios desprevenidos a sitios maliciosos.
En segundo lugar, publica anuncios maliciosos (publicidad maliciosa) en las páginas que visitan las víctimas, lo que permite a los atacantes inyectar JavaScript no autorizado en sus navegadores o redirigirlos a otros sitios web.
¿Por qué el malware WP-VCD WordPress ha sido tan efectivo? Wordfence explica que sus atacantes pueden usar sitios infectados para propagar su malware:
El código de publicidad maliciosa se implementa para generar ingresos publicitarios de los sitios infectados, y si la afluencia de nuevas infecciones por WP-VCD se ralentiza, el atacante puede implementar el código [envenenamiento de búsqueda] para aumentar el tráfico de los motores de búsqueda a sus sitios de distribución y atraer nuevas víctimas.
El malware WP-VCD es difícil de limpiar porque inyecta código malicioso en otros archivos del sistema y vigila los archivos infectados para reinfectarlos automáticamente si el administrador intenta limpiarlos.
¿Qué hacer?
Nuestros consejos para los administradores de WordPress son:
- Minimiza la cantidad de plugins que tienes. Elimina siempre los plugins si ya no los estás utilizando. Mantén el área de superficie de ataque tan pequeña como puedas.
- Mantén los plugins actualizados. El software de blogging como WordPress puede mantenerse actualizado, pero debes realizar un seguimiento de los plugins tu mismo.
- Deshazte de los plugins que ya no reciben atención de sus desarrolladores. No te quedes con los complementos “abandonware”, porque nunca recibirán actualizaciones de seguridad.
- Aprende qué buscar en los registros. Aprende dónde ir para buscar un registro de lo que ha estado haciendo su servidor web, su software de blogs y sus plugins. Los ataques a menudo se destacan de manera clara y temprana si sabes qué buscar y si lo haces con regularidad.
Ah, y no robes software.
Técnicamente, no hay ninguna razón por la cual piratear software sea más peligroso que adquirirlo legalmente: una copia exacta es, después de todo, una copia exacta. Pero la naturaleza sombría de los sitios de descarga de software no autorizados significa que lo único de lo que puede estar seguro es de que está tratando con delincuentes.
Dejar un comentario