Miles de sitios de WordPress están siendo hackeados para instalar complementos
maliciosos que muestran actualizaciones de software falsas y errores para
luego instalar malware que roba información.
En los últimos años, el malware que roba información (info stealer) se
ha convertido en un flagelo para los defensores de la seguridad en todo el
mundo, ya que las credenciales robadas se utilizan para violar redes y robar
datos.
Desde 2023, se utiliza una campaña maliciosa llamada
ClearFake para mostrar mensajes falsaos de actualización del navegador
web
en sitios web comprometidos que distribuyen malware para robar información.
En 2024, se introdujo una nueva campaña llamada ClickFix que comparte muchas
similitudes con ClearFake, pero que en cambio pretende ser mensajes de error
de software con correcciones incluidas. Sin embargo, estas «correcciones» son
scripts de PowerShell que, cuando se ejecutan, descargan e instalan malware
para robar información.
Las campañas ClickFix se han vuelto cada vez más comunes este año, con actores
de amenazas que comprometen sitios para mostrar mensajes que muestran
errores falsos para Google Chrome, conferencias de Google Meet, Facebook e
incluso páginas CAPTCHA.
Complementos maliciosos de WordPress
La semana pasada, GoDaddy informó que los actores de amenazas
ClearFake/ClickFix han violado más de 6.000 sitios de WordPress para instalar
complementos maliciosos que muestran alertas falsas asociadas con estas
campañas.
«El equipo de seguridad de GoDaddy está rastreando una nueva variante del
malware de actualización falsa del navegador ClickFix (también conocido como
ClearFake) que se distribuye a través de complementos falsos de
WordPress», explica el investigador de seguridad de GoDaddy,
Denis Sinegubko (aka @unmaskparasites).
«Estos complementos aparentemente legítimos están diseñados para parecer
inofensivos a los administradores de sitios web, pero contienen scripts
maliciosos incrustados que envían mensajes falsos de actualización del
navegador a los usuarios finales».
Los complementos maliciosos usan nombres similares a los complementos
legítimos, como Wordfense Security y LiteSpeed Cache, mientras que
otros usan nombres genéricos inventados.
La lista de complementos maliciosos vistos en esta campaña entre junio y
septiembre de 2024 es:
LiteSpeed Cache Classic | Custom CSS Injector |
MonsterInsights Classic | Custom Footer Generator |
Wordfence Security Classic | Custom Login Styler |
Search Rank Enhancer | Dynamic Sidebar Manager |
SEO Booster Pro | Easy Themes Manager |
Google SEO Enhancer | Form Builder Pro |
Rank Booster Pro | Quick Cache Cleaner |
Admin Bar Customizer | Responsive Menu Builder |
Advanced User Manager | SEO Optimizer Pro |
Advanced Widget Manage | Simple Post Enhancer |
Content Blocker | Social Media Integrator |
La empresa de seguridad de sitios web Sucuri también señaló que un complemento falso llamado «Universal Popup Plugin» también forma parte de esta
campaña.
Cuando se instala, el complemento malicioso conectará varias acciones de
WordPress según la variante para inyectar un script JavaScript malicioso en el
HTML del sitio. Cuando se carga, este script intentará cargar otro archivo
JavaScript malicioso almacenado en un
contrato inteligente de Binance Smart Chain (BSC), que luego carga el script ClearFake o ClickFix para mostrar los banners
falsos.
A partir de los registros de acceso al servidor web analizados por Sinegubko,
los actores de amenazas parecen estar utilizando credenciales de administrador
robadas para iniciar sesión en el sitio de WordPress e instalar el complemento
de forma automatizada.
Como puede ver en la imagen a continuación, los actores de amenazas inician
sesión mediante una única solicitud POST HTTP en lugar de visitar primero la
página de inicio de sesión del sitio. Esto indica que se está haciendo de
forma automatizada una vez que ya se han obtenido las credenciales. Una vez
que el actor de la amenaza inicia sesión, carga e instala el complemento
malicioso.
Si bien no está claro cómo los actores de amenazas obtienen las credenciales,
el investigador señala que podría ser a través de ataques previos de fuerza
bruta, phishing y malware de robo de información.
Si opera WordPress y recibe informes de alertas falsas que se muestran a los
visitantes, debe examinar inmediatamente la lista de complementos instalados
y eliminar los que no haya instalado usted mismo. Si encuentra complementos
desconocidos, también debe restablecer inmediatamente las contraseñas de los
usuarios administradores a una contraseña única que solo se usa en su
sitio.
Fuente:
BC
Los comentarios están cerrados.