Territorio Móvil

Cientos de sitios de WordPress han sido infectados a través de puertas traseras descubiertas recientemente

El malware que explota vulnerabilidades sin parches en 30 complementos diferentes de WordPress ha infectado cientos, si no miles, de sitios web y puede haber sido utilizado activamente durante años, según un informe publicado la semana pasada. El malware basado en Linux instala una puerta trasera que hace que los sitios web infectados redirijan a los visitantes a sitios maliciosos, dijeron investigadores de la firma de seguridad Dr.Web. También es capaz de deshabilitar el registro de eventos, ir a dormir y apagarse. Se instala explotando vulnerabilidades ya parcheadas en complementos que los propietarios de sitios web usan para agregar funciones como chat en vivo o informes de métricas al sistema central de administración de contenido de WordPress. «Cuando los sitios web usan versiones desactualizadas de dichos complementos que carecen de soluciones críticas, los sitios web de destino se inyectan con JavaScripts maliciosos», escribieron los investigadores de Dr.Web. “Como resultado, cuando los usuarios hacen clic en cualquier parte de una página comprometida, son redirigidos a otros sitios web.” Consultas de búsqueda como estas indican que más de 1300 sitios web contienen el JavaScript que activa la puerta trasera. Es posible que algunos de estos sitios web hayan eliminado el código malicioso desde el último análisis. Aún así, hay una indicación del alcance del malware. Los complementos explotados incluyen:

  • Complemento de soporte de chat en vivo de WP
  • WordPress – Publicaciones relacionadas con Yuzo
  • Complemento personalizador de tema visual de lápiz amarillo
  • easysmtp
  • Complemento de cumplimiento de WP GDPR
  • Tema de periódico sobre WordPress Access Control (vulnerabilidad CVE-2016-10972)
  • tim kern
  • Insertador de código de Google
  • Complemento de donaciones totales
  • Publicar plantillas personalizadas Lite
  • Gestor de reservas rápidas de WP
  • Chat en vivo de Facebook de Zotabox
  • Complemento de WordPress para diseñador de blogs
  • Preguntas frecuentes sobre WordPress Ultimate (vulnerabilidades CVE-2019-17232 y CVE-2019-17233)
  • Integración WP-Matomo (WP-Piwik)
  • Códigos cortos de WordPress ND para Visual Composer
  • Chat en vivo de WP
  • Próximamente página y modo mantenimiento
  • Híbrido
  • Complemento Brizy de WordPress
  • Reproductor de vídeo FV Flowplayer
  • WooCommerce
  • Próximamente página de WordPress
  • Tema de WordPress OneTone
  • Complemento de WordPress para campos simples
  • Complemento SEO de WordPress Delucs
  • Creador de encuestas, encuestas, formularios y cuestionarios de OpinionStage
  • Rastreador de métricas sociales
  • Buscador de fuentes RSS de WPeMatico
  • Complemento de revisiones enriquecidas

«Si una o más vulnerabilidades se explotan con éxito, la página de destino se inyecta con JavaScript malicioso descargado de un servidor remoto», explica el informe de Dr.Web. “Entonces, la inyección se realiza de tal manera que cuando se carga la página infectada, ese JavaScript se inicia primero, independientemente del contenido original de la página. Cada vez que los usuarios hacen clic en cualquier parte de la página infectada en este punto, son redirigidos al sitio web al que los atacantes necesitan que vayan los usuarios”.[.]completsmakeparty3[.]buenas estrategias de entrega[.]comgabriellalovecats[.]cómodo[.]digerir[.]comclon[.]recopilar vías rápidas[.]comCuenta[.]seguimiento de estadísticas[.]com La siguiente captura de pantalla muestra cómo se muestra JavaScript en la fuente de la página del sitio web infectado:
Los investigadores de Dr.Web encontraron dos versiones de la puerta trasera: Linux.BackDoor.WordPressExploit.1 y Linux.BackDoor.WordPressExploit.2. Dijeron que el malware puede haber existido durante tres años. Los complementos de WordPress han sido durante mucho tiempo un medio común para infectar sitios web. Si bien la seguridad de la aplicación principal es bastante sólida, muchos complementos están plagados de vulnerabilidades que pueden provocar infecciones. Los delincuentes utilizan sitios web infectados para redirigir a los visitantes a sitios utilizados para la suplantación de identidad, el fraude publicitario y la distribución de malware. Las personas que ejecutan sitios de WordPress deben asegurarse de estar utilizando las últimas versiones del software principal y todos los complementos. Debe dar prioridad a la actualización de uno de los complementos enumerados anteriormente.

MÁS SOBRE ACTUALIDAD
GM anuncia el nuevo Chevrolet Bolt basado en Ultium en el informe del segundo trimestre
El bórax es la nueva marea y los expertos en control de envenenamiento lo están mirando a la cara.
SpaceX anuncia otra aplicación para Starship
La nueva función de personalización de ChatGPT podría ahorrar mucho tiempo a los usuarios
¿Listo para su escaneo ocular? Comienza Worldcoin, pero no del todo en todo el mundo
Entendiendo al pulpo y sus relaciones con los humanos

Deja una respuesta

Tu dirección de correo electrónico no será publicada.