Keylogger e infecciones en sitios de WordPress vulnerables

Un grupo de investigadores de seguridad han descubierto más de 2.000 sitios de WordPress con un keylogger que se está cargando en la página de inicio de sesión de la plataforma y una secuencia de comandos de cifrado (minero de criptomoneda en el navegador) en sus interfaces. Esta cifra incluso podría ser mayor, según los investigadores. A principios de diciembre del año pasado hubo algo similar. Los expertos indican que podría tener relación.

El ataque es bastante simple. Los ciberdelincuentes encuentran sitios no seguros de WordPress (normalmente aquellos que ejecutan versiones anteriores o temas y plugins más antiguos) y utilizan exploits para que esos sitios inserten código malicioso en el código fuente.

El código malicioso incluye dos partes. Para la página de inicio de sesión de administrador, el código carga un keylogger alojado en un dominio de terceros. Para la interfaz del sitio, los ladrones cargan el minero de Coinhive y Monero en el navegador utilizando las CPU de las personas que visitan el sitio.

En la campaña de finales de 2017, los delincuentes cargaron su keylogger desde el dominio "cloudflare.solutions". Esos ataques afectaron a casi 5.500 sitios de WordPress pero fueron detenidos el 8 de diciembre cuando el registrador eliminó el dominio de los delincuentes.

Tres nuevos dominios

Según un nuevo informe, los delincuentes ahora están cargando el keylogger de tres nuevos dominios: cdjs[.]online, cdns[.]ws y msdns[.]online.

Lo recomendable en estos casos es actualizar WordPress. Mantener las últimas versiones nos facilita poder hacer frente a amenazas como estas. Es importante también asegurarse de que la página no está cargando ningún script sospechoso.

Como hemos mencionado, esta campaña ha estado en marcha desde abril de 2017, y durante la mayor parte de 2017. Los ciberdelincuentes estaban centrados insertando anuncios de banner en los sitios pirateados y cargando scripts de cifrado de Coinhive disfrazados de jQuery falso y archivos JavaScript de Google Analytics.

Sin embargo el mes pasado este grupo cambió a la práctica de recopilar credenciales de administrador a través de keylogger.

El ataque se realiza en sitios Wordpress con una seguridad débil, por medio de la inyección de scripts en base de datos (en tabla "wp_posts") o en el archivo "functions.php". Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas "functions.php", revisar las tablas "wp_posts" y cambiar todas las contraseñas del sitio web.

Fuente: Bleeping Computer

Suscríbete a nuestro Boletín