Una nueva investigación ha revelado que más de 2.000 sitios de WordPress han pirateado como parte de una campaña para redirigir a los visitantes a varios sitios fraudulentos que contienen suscripciones de notificaciones no deseadas, encuestas falsas, regalos e incluso descargas falsas de Adobe Flash.
La empresa de seguridad Sucuri descubrió la campaña de piratería por primera vez cuando sus investigadores detectaron atacantes que explotaban vulnerabilidades en los complementos de WordPress. Según Luke Leal, de la compañía, el formulario de contacto de CP con PayPal y los complementos de Simple Fields son explotados, pero otros complementos probablemente también fueron seleccionados.
Cuando un atacante explota una de estas vulnerabilidades, les permite inyectar JavaScript que carga scripts de admarketlocation y tiene sitios de getosecond2 directamente en el tema de un sitio.
Una vez que un visitante accede a un sitio pirateado, el script inyectado intentará acceder a dos URL administrativas (/wp-admin/options-general.php y /wp-admin/theme-editor.php) en segundo plano para inyectar secuencias de comandos adicionales o modificar la configuración de WrodPress que también redirigirá a los visitantes. Sin embargo, estas URL requieren acceso de administrador, por lo que solo funcionarán si un administrador accede al sitio.
Páginas de estafa
Los atacantes escribieron sus scripts de tal manera que los visitantes sin privilegios administrativos son redirigidos a una serie de sitios que eventualmente los conducirán a diferentes páginas de estafas. Estas páginas le dicen a los usuarios que necesitan suscribirse a las notificaciones del navegador para continuar.
Haga clic en el botón Permitir para activar las notificaciones, luego redirija a los visitantes a otros sitios de estafa enviando encuestas falsas, estafas de soporte técnico y actualizaciones falsas a las estafas. Adobe Flash Player.
Sucuri también descubrió que los atacantes habían creado directorios falsos de complementos que se utilizan para descargar malware adicional de sitios comprometidos. Leal proporcionó más detalles sobre cómo los atacantes crearon directorios de complementos falsos en una publicación de blog, diciendo:
"Otro descubrimiento interesante es la creación de directorios de complementos falsos que contienen otro malware y también pueden ser generados por el abuso del atacante de / wp-admin / features, es decir, el descargando archivos zip comprimidos usando / wp-admin / includes / plugin-install. archivo php para descargar y descomprimir el complemento falso comprimido en / wp-content / plugins /. "
Para ver si su sitio de WordPress ha sido pirateado, Sucuri recomienda usar su herramienta gratuita SiteCheck para buscar contenido malicioso.
Vía BleepingComputer