Un equipo de investigadores de la firma de seguridad Sucuri ha
descubierto que más de 2.000 sitios web de
WordPress están infectados con un script
malicioso. El script puede inyectar en el navegador de la
víctima o bien un keylogger para robar las contraseñas y
datos privados, o bien el malware
CoinHive para utilizar los recursos del equipo del usuario
de manera clandestina para minar
criptomonedas.
De acuerdo con los analistas de Sucuri, se trata de un
malware llamado Cloudflare[.]Solutions que afectó
a cerca de 5.500 sitios de WordPress, originalmente identificado el
pasado mes de abril. El virus ha evolucionado desde que fue
descubierto y se ha extendido a nuevos dominios. Además, «la tasa
de reinfección demuestra que hay muchos sitios
que no se han protegido adecuadamente después de la
infección original», tal como explica Denis Sinegubko en un post en
el blog de la compañía de seguridad.
Protege tu PC con los antivirus más vendidos de Amazon
España
El dominio Cloudflare[.]Solutions fue eliminado el pasado
mes de diciembre tras la publicación del último informe de Sucuri,
pero la campaña no terminó ahí. A los pocos días, los atacantes registraron varios dominios nuevos para
continuar actuando, entre ellos cdjs[.]online, que según el
motor de búsqueda de código fuente PubliccWWW infecta actualmente
a 146 páginas web; cdns[.]ws, que
afecta a 145 sitios; y por último
msdns[.]online, que ya ha infectado más de 1.800 portales, la mayoría reinfecciones
de sitios previamente comprometidos. Además, creen que buena parte de las páginas afectadas aún no han sido
indexadas, por lo que podría haber muchas más afectadas.
Para perpetrar el ataque, los cibercriminales inyectan
scripts maliciosos en sitios de WordPress con seguridad débil u
obsoleta. Por ejemplo, el script cdjs[.]online se inyecta
en una base de datos de WordPress o en el archivo functions.php del
tema. Una vez que una web ha sido infectada, el
script envía los datos que introducen los usuarios en todos los
formularios, incluido el de inicio de sesión, y utilizan los
recursos del equipo de la víctima para minar criptomoneda.
Según explican los investigadores que han detectado la campaña,
para limpiar un sitio web de WordPress que se haya
visto comprometido es necesario eliminar el código malicioso de
functions-php del tema, escanear la tabla wp_posts para detectar
posibles inyecciones, cambiar las contraseñas de WordPress y
actualizar todo el software del servidor.
[Fuente: Sucuri]