Miles de webs de WordPress infectadas con un minero y un keylogger
Un equipo de investigadores de la firma de seguridad Sucuri ha descubierto que más de 2.000 sitios web de WordPress están infectados con un script malicioso. El script puede inyectar en el navegador de la víctima o bien un keylogger para robar las contraseñas y datos privados, o bien el malware CoinHive para utilizar los recursos del equipo del usuario de manera clandestina para minar criptomonedas.
De acuerdo con los analistas de Sucuri, se trata de un malware llamado Cloudflare[.]Solutions que afectó a cerca de 5.500 sitios de WordPress, originalmente identificado el pasado mes de abril. El virus ha evolucionado desde que fue descubierto y se ha extendido a nuevos dominios. Además, "la tasa de reinfección demuestra que hay muchos sitios que no se han protegido adecuadamente después de la infección original", tal como explica Denis Sinegubko en un post en el blog de la compañía de seguridad.
Protege tu PC con los antivirus más vendidos de Amazon España
El dominio Cloudflare[.]Solutions fue eliminado el pasado mes de diciembre tras la publicación del último informe de Sucuri, pero la campaña no terminó ahí. A los pocos días, los atacantes registraron varios dominios nuevos para continuar actuando, entre ellos cdjs[.]online, que según el motor de búsqueda de código fuente PubliccWWW infecta actualmente a 146 páginas web; cdns[.]ws, que afecta a 145 sitios; y por último msdns[.]online, que ya ha infectado más de 1.800 portales, la mayoría reinfecciones de sitios previamente comprometidos. Además, creen que buena parte de las páginas afectadas aún no han sido indexadas, por lo que podría haber muchas más afectadas.
Para perpetrar el ataque, los cibercriminales inyectan scripts maliciosos en sitios de WordPress con seguridad débil u obsoleta. Por ejemplo, el script cdjs[.]online se inyecta en una base de datos de WordPress o en el archivo functions.php del tema. Una vez que una web ha sido infectada, el script envía los datos que introducen los usuarios en todos los formularios, incluido el de inicio de sesión, y utilizan los recursos del equipo de la víctima para minar criptomoneda.
Según explican los investigadores que han detectado la campaña, para limpiar un sitio web de WordPress que se haya visto comprometido es necesario eliminar el código malicioso de functions-php del tema, escanear la tabla wp_posts para detectar posibles inyecciones, cambiar las contraseñas de WordPress y actualizar todo el software del servidor.
[Fuente: Sucuri]
Descubre más sobre Sandra Arteaga, autor/a de este artículo.
Conoce cómo trabajamos en Computerhoy.