Aprovechan sitios WordPress sin actualizar para propagar malware
No es la primera vez que hablamos en este blog de la importancia de mantener nuestro sitio web actualizado. En los últimos meses hemos visto cómo los ciberdelincuentes han usado páginas web legítimas con algún fallo de seguridad para propagar sus amenazas. Uno de los objetivos preferidos de los atacantes han sido los blogs generados con el sistema de gestión de contenidos WordPress.
En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.
Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.
No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección. Si desciframos el código ofuscado, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.
Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.
Fuente: Ontinet
En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.
Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección. Si desciframos el código ofuscado, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.
Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.
Fuente: Ontinet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!