Navegar
por Internet sin tener la máxima seguridad en el ordenador es ya
todo un peligro. Si bien antes era sólo necesario evitar acceder a
sitios de baja confianza, ahora el código
malicioso puede encontrarse hasta en sitios creados en
Wordpress que, por desgracia, son la mayoría de las páginas
que visitamos.
Un
peligroso malware se ha instalado en multitud de
sitios creados en WordPress que secuestran el
ordenador de los visitantes pidiéndoles una cantidad económica para
liberar sus archivos. Distintos investigadores han avisado
de que un número indeterminados de sitios creados con WordPress han
sido infectados por un malware, y lo peor de todo es que no saben
ni cómo podemos protegernos ni cómo han logrado infectar a tantos
sitios.
Según
parece, aquellos usuarios que visitan algunos sitios basados en
este popular CMS, y que tienen versiones obsoletas
de Adoble Flash Player, Adobe Reader, Microsoft Silverlight o
Internet Explorer, pueden verse infectados por este
ransomware del tipo Teslacrypt, un tipo de malware
que encripta los archivos del ordenador en un servidor remoto para
pedirle un dinero por su rescate.
Estos
sitios de WordPress han sido hackeados inyectando código oculto al final de archivos
JavaScript, y aunque el contenido encriptado es diferente de
un sitio a otro, es similar al siguiente:
Este
malware, para evitar ser descubierto, el código sólo se ejecuta para aquellos visitantes que acceden por
primera vez al sitio. Para enmascarar aún más el ataque, el
código redirige a los usuarios a otros sitios puente hasta que
llegan al último que contiene la instalación del ransomware, en una
forma de despistar a los antivirus. De hecho, sólo dos antivirus de 22 han conseguido avisar al
usuario de la presencia de este malware. Curiosamente muchos de
estos sitios puente ya están en la lista negra de Google y no
aparecen en su buscador.
Para que
el usuario pueda protegerse, o al menos paliar el ataque, es
preciso que se tengan las últimas
actualizaciones de programas que ejecute el ordenador o usar
navegadores 64 bits como la última versión de Google
Chrome.
¿Cómo se
podrían haber infectado estos sitios? Se podría tratar de
un fallo de seguridad en el propio CMS de
Wordpress, alguna versión desactualizada del gestor de
contenido, algún plugin instalado o incluso que
el PC del administrador esté infectado por otra razón.
Desgraciadamente este malware es capaz de infectar a todos los
dominios que estén bajo una misma cuenta de hosting, con lo que su
propagación es muy rápida.
[Fuente: Arstechnica]