Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Sitios WordPress comprometidos mediante plugins premium gratuitos
Investigadores de Sucuri analizaron algunos sitios que ofrecen la descarga de dichas versiones gratuitas y descubrieron que más de un plugin cuenta con código malicioso que busca secuestrar el sitio WP en el que se ha instalado.
La trampa es muy buena, es bien sabido que algunas personas simplemente no pagarán por software que piensan que pueden conseguir de manera gratuita. Por desgracia las consecuencias serán desastrozas.
Los investigadores profundizaron más sobre el tema cuando encontraron el plugin SEOPressor instalado en un equipo severamente infectado en el que se les encargo la desinfección. Después de analizar los códigos ofuscados del plugin, descubrieron líneas que notificaba la instalación del código así como la URL del sitio mediante un correo electrónico.
El atacante puede visitar el sitio comprometido y agregar parámetros específicos en la URL que permiten la creación de un usuario con privilegios de administración (con una contraseña conocida por el atacante). Con esto el atacante puede acceder al sitio WordPress con todos los privilegios y realizar cualquier tipo de actividad, tanto en el blog (como instalar puertas traseras en algún tema o archivo y usarlo para agregar archivos maliciosos), en la cuenta del servidor (todos los sitios que compartan la misma cuenta pueden ser fácilmente comprometidos) e incluso en todo el servidor, según encontraron los investigadores.
El plugin SEOPressor no es el único plugin popular que ha sido modificado por los atacantes. El administrador del sitio infectado informó a los investigadores que el origen de estos plugins es el sitio Wplist.org, en donde se ofrecen temas de WP, plugins gratuitos y tutoriales para descargar.
Una rápida investigación reveló que un usuario que descargó un plugin premium gratuito, descargó otros que también poseen el código malicioso. Al investigar el sitio Wplist.org y su sitio espejo Wplocker, se reveló que 5 plugins aparentemente parchados fueron agregados.
En esta ocasión, el que agregó los pluggins fue el administrador del sitio, quien rápidamente eliminó los comentarios dejados por los usuarios informando del código malicioso en los plugins, remplazándolos con versiones patrocinadas.
