Un viejo malware esta asaltando la comunidad de WordPress, permitiendo a sus autores tomar el control de los sitios e inyectar el codigo de su eleccion.

Segun la compania de seguridad de WordPress Wordfence, que publico un minucioso documento sobre el malware a principios de esta semana, WP-VCD no es un malware nuevo. Se remonta a febrero de 2017, pero recientemente se ha vuelto aun mas exitoso. La empresa dice que ha encabezado su lista de infecciones de malware de WordPress desde agosto de este ano. Se han agregado nuevas funciones al malware, pero sus funciones principales siguen siendo las mismas.

El malware se propaga a traves de versiones pirateadas de temas y complementos de WordPress, que los atacantes distribuyen, a traves de una red de sitios corruptos.

Aquellos administradores que buscan funcionalidades gratis de WordPress descargan estos activos y los usan en sus propios sitios de WordPress, entonces basicamente ha infectado sus propios servidores.

Este es un vector de ataque ingenioso porque los delincuentes que distribuyen los complementos no tienen que preocuparse por encontrar nuevas vulnerabilidades en el codigo de WordPress o piratear extensiones legitimas. En cambio, como explica Wordfence, los delincuentes estan explotando la codicia humana:

La distribucion de esta campana no se basa en explotar nuevas vulnerabilidades de software o descifrar credenciales de inicio de sesion, simplemente se basa en que los propietarios de sitios de WordPress buscan acceso gratuito a software pago.

Una vez que ha infectado un sitio, el malware instala una puerta trasera para sus operadores y se comunica con su servidor de comando y control (C2) antes de propagarse a otros alojados en la misma infraestructura. Finalmente, elimina el codigo malicioso en el plugin instalado para cubrir sus huellas.

La puerta trasera permite a los atacantes actualizar el sitio con un nuevo codigo malicioso, lo que genera dinero de dos maneras. Primero, utilizando tecnicas de envenenamiento de motores de busqueda para manipular los resultados y atraer a los usuarios desprevenidos a sitios maliciosos.

En segundo lugar, publica anuncios maliciosos (publicidad maliciosa) en las paginas que visitan las victimas, lo que permite a los atacantes inyectar JavaScript no autorizado en sus navegadores o redirigirlos a otros sitios web.

?Por que el malware WP-VCD WordPress ha sido tan efectivo? Wordfence explica que sus atacantes pueden usar sitios infectados para propagar su malware:

El codigo de publicidad maliciosa se implementa para generar ingresos publicitarios de los sitios infectados, y si la afluencia de nuevas infecciones por WP-VCD se ralentiza, el atacante puede implementar el codigo [envenenamiento de busqueda] para aumentar el trafico de los motores de busqueda a sus sitios de distribucion y atraer nuevas victimas.

El malware WP-VCD es dificil de limpiar porque inyecta codigo malicioso en otros archivos del sistema y vigila los archivos infectados para reinfectarlos automaticamente si el administrador intenta limpiarlos.

?Que hacer?

Nuestros consejos para los administradores de WordPress son:

  • Minimiza la cantidad de plugins que tienes. Elimina siempre los plugins si ya no los estas utilizando. Manten el area de superficie de ataque tan pequena como puedas.
  • Manten los plugins actualizados. El software de blogging como WordPress puede mantenerse actualizado, pero debes realizar un seguimiento de los plugins tu mismo.
  • Deshazte de los plugins que ya no reciben atencion de sus desarrolladores. No te quedes con los complementos “abandonware”, porque nunca recibiran actualizaciones de seguridad.
  • Aprende que buscar en los registros. Aprende donde ir para buscar un registro de lo que ha estado haciendo su servidor web, su software de blogs y sus plugins. Los ataques a menudo se destacan de manera clara y temprana si sabes que buscar y si lo haces con regularidad.

Ah, y no robes software.

Tecnicamente, no hay ninguna razon por la cual piratear software sea mas peligroso que adquirirlo legalmente: una copia exacta es, despues de todo, una copia exacta. Pero la naturaleza sombria de los sitios de descarga de software no autorizados significa que lo unico de lo que puede estar seguro es de que esta tratando con delincuentes.

Save & Share Cart
Your Shopping Cart will be saved and you'll be given a link. You, or anyone with the link, can use it to retrieve your Cart at any time.
Back Save & Share Cart
Your Shopping Cart will be saved with Product pictures and information, and Cart Totals. Then send it to yourself, or a friend, with a link to retrieve it at any time.
Your cart email sent successfully :)