Sitios de WordPress modificados para instalar complementos dañinos
Miles de sitios de WordPress están siendo hackeados para instalar complementos maliciosos que muestran actualizaciones de software falsas y errores para luego instalar malware que roba información.
En los últimos años, el malware que roba información (info stealer) se ha convertido en un flagelo para los defensores de la seguridad en todo el mundo, ya que las credenciales robadas se utilizan para violar redes y robar datos.
Desde 2023, se utiliza una campaña maliciosa llamada ClearFake para mostrar mensajes falsaos de actualización del navegador web en sitios web comprometidos que distribuyen malware para robar información.
En 2024, se introdujo una nueva campaña llamada ClickFix que comparte muchas similitudes con ClearFake, pero que en cambio pretende ser mensajes de error de software con correcciones incluidas. Sin embargo, estas "correcciones" son scripts de PowerShell que, cuando se ejecutan, descargan e instalan malware para robar información.
Las campañas ClickFix se han vuelto cada vez más comunes este año, con actores de amenazas que comprometen sitios para mostrar mensajes que muestran errores falsos para Google Chrome, conferencias de Google Meet, Facebook e incluso páginas CAPTCHA.
Complementos maliciosos de WordPress
La semana pasada, GoDaddy informó que los actores de amenazas ClearFake/ClickFix han violado más de 6.000 sitios de WordPress para instalar complementos maliciosos que muestran alertas falsas asociadas con estas campañas.
"El equipo de seguridad de GoDaddy está rastreando una nueva variante del malware de actualización falsa del navegador ClickFix (también conocido como ClearFake) que se distribuye a través de complementos falsos de WordPress", explica el investigador de seguridad de GoDaddy, Denis Sinegubko (aka @unmaskparasites). "Estos complementos aparentemente legítimos están diseñados para parecer inofensivos a los administradores de sitios web, pero contienen scripts maliciosos incrustados que envían mensajes falsos de actualización del navegador a los usuarios finales".
Los complementos maliciosos usan nombres similares a los complementos legítimos, como Wordfense Security y LiteSpeed Cache, mientras que otros usan nombres genéricos inventados.
La lista de complementos maliciosos vistos en esta campaña entre junio y septiembre de 2024 es:
LiteSpeed Cache Classic | Custom CSS Injector |
MonsterInsights Classic | Custom Footer Generator |
Wordfence Security Classic | Custom Login Styler |
Search Rank Enhancer | Dynamic Sidebar Manager |
SEO Booster Pro | Easy Themes Manager |
Google SEO Enhancer | Form Builder Pro |
Rank Booster Pro | Quick Cache Cleaner |
Admin Bar Customizer | Responsive Menu Builder |
Advanced User Manager | SEO Optimizer Pro |
Advanced Widget Manage | Simple Post Enhancer |
Content Blocker | Social Media Integrator |
La empresa de seguridad de sitios web Sucuri también señaló que un complemento falso llamado "Universal Popup Plugin" también forma parte de esta campaña.
Cuando se instala, el complemento malicioso conectará varias acciones de WordPress según la variante para inyectar un script JavaScript malicioso en el HTML del sitio. Cuando se carga, este script intentará cargar otro archivo JavaScript malicioso almacenado en un contrato inteligente de Binance Smart Chain (BSC), que luego carga el script ClearFake o ClickFix para mostrar los banners falsos.
A partir de los registros de acceso al servidor web analizados por Sinegubko, los actores de amenazas parecen estar utilizando credenciales de administrador robadas para iniciar sesión en el sitio de WordPress e instalar el complemento de forma automatizada.
Como puede ver en la imagen a continuación, los actores de amenazas inician sesión mediante una única solicitud POST HTTP en lugar de visitar primero la página de inicio de sesión del sitio. Esto indica que se está haciendo de forma automatizada una vez que ya se han obtenido las credenciales. Una vez que el actor de la amenaza inicia sesión, carga e instala el complemento malicioso.
Si bien no está claro cómo los actores de amenazas obtienen las credenciales, el investigador señala que podría ser a través de ataques previos de fuerza bruta, phishing y malware de robo de información.
Si opera WordPress y recibe informes de alertas falsas que se muestran a los visitantes, debe examinar inmediatamente la lista de complementos instalados y eliminar los que no haya instalado usted mismo. Si encuentra complementos desconocidos, también debe restablecer inmediatamente las contraseñas de los usuarios administradores a una contraseña única que solo se usa en su sitio.
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!