Un viejo malware esta asaltando la comunidad de WordPress, permitiendo a sus autores tomar el control de los sitios e inyectar el codigo de su eleccion.
Segun la compania de seguridad de WordPress Wordfence, que publico un minucioso documento sobre el malware a principios de esta semana, WP-VCD no es un malware nuevo. Se remonta a febrero de 2017, pero recientemente se ha vuelto aun mas exitoso. La empresa dice que ha encabezado su lista de infecciones de malware de WordPress desde agosto de este ano. Se han agregado nuevas funciones al malware, pero sus funciones principales siguen siendo las mismas.
El malware se propaga a traves de versiones pirateadas de temas y complementos de WordPress, que los atacantes distribuyen, a traves de una red de sitios corruptos.
Aquellos administradores que buscan funcionalidades gratis de WordPress descargan estos activos y los usan en sus propios sitios de WordPress, entonces basicamente ha infectado sus propios servidores.
Este es un vector de ataque ingenioso porque los delincuentes que distribuyen los complementos no tienen que preocuparse por encontrar nuevas vulnerabilidades en el codigo de WordPress o piratear extensiones legitimas. En cambio, como explica Wordfence, los delincuentes estan explotando la codicia humana:
La distribucion de esta campana no se basa en explotar nuevas vulnerabilidades de software o descifrar credenciales de inicio de sesion, simplemente se basa en que los propietarios de sitios de WordPress buscan acceso gratuito a software pago.
Una vez que ha infectado un sitio, el malware instala una puerta trasera para sus operadores y se comunica con su servidor de comando y control (C2) antes de propagarse a otros alojados en la misma infraestructura. Finalmente, elimina el codigo malicioso en el plugin instalado para cubrir sus huellas.
La puerta trasera permite a los atacantes actualizar el sitio con un nuevo codigo malicioso, lo que genera dinero de dos maneras. Primero, utilizando tecnicas de envenenamiento de motores de busqueda para manipular los resultados y atraer a los usuarios desprevenidos a sitios maliciosos.
En segundo lugar, publica anuncios maliciosos (publicidad maliciosa) en las paginas que visitan las victimas, lo que permite a los atacantes inyectar JavaScript no autorizado en sus navegadores o redirigirlos a otros sitios web.
?Por que el malware WP-VCD WordPress ha sido tan efectivo? Wordfence explica que sus atacantes pueden usar sitios infectados para propagar su malware:
El codigo de publicidad maliciosa se implementa para generar ingresos publicitarios de los sitios infectados, y si la afluencia de nuevas infecciones por WP-VCD se ralentiza, el atacante puede implementar el codigo [envenenamiento de busqueda] para aumentar el trafico de los motores de busqueda a sus sitios de distribucion y atraer nuevas victimas.
El malware WP-VCD es dificil de limpiar porque inyecta codigo malicioso en otros archivos del sistema y vigila los archivos infectados para reinfectarlos automaticamente si el administrador intenta limpiarlos.
Nuestros consejos para los administradores de WordPress son:
Ah, y no robes software.
Tecnicamente, no hay ninguna razon por la cual piratear software sea mas peligroso que adquirirlo legalmente: una copia exacta es, despues de todo, una copia exacta. Pero la naturaleza sombria de los sitios de descarga de software no autorizados significa que lo unico de lo que puede estar seguro es de que esta tratando con delincuentes.
4909 Murphy Canyon Road Suite, 500
San Diego, CA 92123
Store
Company
Support
Newsletter
