Malware se extiende por Wordpress secuestrando tu ordenador
Navegar por Internet sin tener la máxima seguridad en el ordenador es ya todo un peligro. Si bien antes era sólo necesario evitar acceder a sitios de baja confianza, ahora el código malicioso puede encontrarse hasta en sitios creados en Wordpress que, por desgracia, son la mayoría de las páginas que visitamos.
Un peligroso malware se ha instalado en multitud de sitios creados en Wordpress que secuestran el ordenador de los visitantes pidiéndoles una cantidad económica para liberar sus archivos. Distintos investigadores han avisado de que un número indeterminados de sitios creados con Wordpress han sido infectados por un malware, y lo peor de todo es que no saben ni cómo podemos protegernos ni cómo han logrado infectar a tantos sitios.
Según parece, aquellos usuarios que visitan algunos sitios basados en este popular CMS, y que tienen versiones obsoletas de Adoble Flash Player, Adobe Reader, Microsoft Silverlight o Internet Explorer, pueden verse infectados por este ransomware del tipo Teslacrypt, un tipo de malware que encripta los archivos del ordenador en un servidor remoto para pedirle un dinero por su rescate.
Estos sitios de Wordpress han sido hackeados inyectando código oculto al final de archivos JavaScript, y aunque el contenido encriptado es diferente de un sitio a otro, es similar al siguiente:
Este malware, para evitar ser descubierto, el código sólo se ejecuta para aquellos visitantes que acceden por primera vez al sitio. Para enmascarar aún más el ataque, el código redirige a los usuarios a otros sitios puente hasta que llegan al último que contiene la instalación del ransomware, en una forma de despistar a los antivirus. De hecho, sólo dos antivirus de 22 han conseguido avisar al usuario de la presencia de este malware. Curiosamente muchos de estos sitios puente ya están en la lista negra de Google y no aparecen en su buscador.
Para que el usuario pueda protegerse, o al menos paliar el ataque, es preciso que se tengan las últimas actualizaciones de programas que ejecute el ordenador o usar navegadores 64 bits como la última versión de Google Chrome.
¿Cómo se podrían haber infectado estos sitios? Se podría tratar de un fallo de seguridad en el propio CMS de Wordpress, alguna versión desactualizada del gestor de contenido, algún plugin instalado o incluso que el PC del administrador esté infectado por otra razón. Desgraciadamente este malware es capaz de infectar a todos los dominios que estén bajo una misma cuenta de hosting, con lo que su propagación es muy rápida.
[Fuente: Arstechnica]
Descubre más sobre David Hernández, autor/a de este artículo.
Conoce cómo trabajamos en Computerhoy.