NOTICIAS DE CIBERSEGURIDAD

Información para todos

Miles de sitios de WORDPRESS infectados con un pequeño código de javascript

Un equipo de investigadores reportó la detección de una campaña maliciosa dedicada a la inyección de scripts maliciosos en sitios web de WordPress con plugins y temas vulnerables. Hasta el momento se han identificado al menos 6,000 sitios web comprometidos, aunque la cifra real podría ser mucho mayor.

Esta actividad maliciosa fue identificada después de que se acumularan cientos de quejas sobre redirecciones no deseados en sitios web administrados con este sistema de gestión de contenido (CMS). Los usuarios afectados eran redirigidos a sitios web desconocidos con el fin de mostrarles gran cantidad de anuncios no deseados.

Acorde al reporte, todos los sitios web afectados habían sido objetivo de una inyección de JavaScript malicioso en sus archivos y bases de datos como ./wp-includes/js/jquery/jquery.min.js y ./wp-includes/js/jquery/jquery-migrate.min.js.  

Después del compromiso de los sitios web afectados, los atacantes intentaron infectar automáticamente cualquier archivo .js con jQuery en los nombres. Por ejemplo, trataron de inyectar un código que comienza con “/* trackmyposs*/eval(String.fromCharCode…”, lo que parecía indicar que los hackers estaban tratando de evadir la detección ofuscando su código malicioso.

 

Un análisis a detalle del código revela el verdadero comportamiento de la inyección:

 

Esta muestra de código se agregó debajo del script real o debajo del encabezado de la página donde se activaba cada vez que se cargaba una página, redirigiendo a los visitantes del sitio al destino del atacante.

El código malicioso crea un nuevo elemento de script con el dominio legendtable.com como fuente. El código de este dominio después se encarga de llamar a un segundo dominio externo (local.drakefollow.com), llamado desde links.drakefollow.com, redirigiendo al visitante a alguno de los siguientes sitios web:

 bluestringline.com

 browntouchmysky.com

 redstringline.com

 whitetouchmysky.com

 gregoryfavorite.space

 gregoryfavorite.top

 pushnow.net/

Los dominios al final de la cadena pueden usarse para cargar anuncios, páginas de phishing, malware o incluso más redirecciones a otras plataformas.

Para los administradores de los sitios web en WordPress que crean que han sido infectados durante esta campaña, se recomienda realizar un escaneo detallado de sus plataformas a fin de encontrar cualquier evidencia de compromiso. En caso de confirmarse la infección, queda a consideración de los administradores qué medidas tomar para eliminar el código malicioso.

 

Créditos: Alisa Esage G

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

Cómo denunciar acoso

 

 

Nuestro canal en Telegram