Wordpress vulnerable + Neutrino + Spam = CryptXXX = Usuario infectado

Los investigadores están reportando un aumento en las infecciones ransomware CryptXXXen sitios webs comprometidos para e infectados con Neutrino Exploit Kit.

Según Invincea, los atacantes están infectando sitios de WorpPress que tienen el plug-in de slider y diapositivas Revslider. Detrás de los ataques está la botnet SoakSoak, activa desde 2014 y conocida por su capacidad automatizada de escanear páginas web en busca de vulnerabilidades.

"Estamos viendo un aumento en este tipo de ataques dirigidos contra componentes de presentación de diapositivas y vídeos en sitios web" dijeron desde Invicea. Por ejemplo, la página web de Turismo de Guatemala y el sitio web de una empresa de suministro de agua de la Ciudad de México están enviando inadvertidamente a los visitantes a sitios que alojan Neutrino Exploit Kit. Si los usuarios son vulnerable a los exploits, serán infectadas con el ransomware CryptXXX.

Por su parte Neutrino sigue implementado mejoras y en los últimos días han agregado una vulnerabilidad 0-Day (ya parcheada) que afecta a Internet Explorer. El 10 de mayo, Microsoft lanzó un lote de actualizaciones de seguridad e incluyó en ese paquete la solución para la vulnerabilidad CVE-2016-0189 que es una vulnerabilidad de corrupción de memoria que permite ejecución remota de código (RCE) en los equipos de los usuarios.


Miles de sitios web de WordPress se han convertido en blancos de los atacantes por lo que se recomienda parchear las instalaciones de este popular CMS y los sistemas de los usuarios, para evitar que los exploits pueden descargar el malware.

Fuente: Threatpost