Home Sociedad Campaña masiva contra 900.000 sitios de WordPress

Campaña masiva contra 900.000 sitios de WordPress

Piratas informáticos perpetraron un ataque masivo contra más de 900.000 sitios de WordPress que buscan redirigir a los visitantes a sitios de malversación o plantar una puerta trasera si un administrador está conectado.

Basándose en la carga útil, los ataques parecen ser el trabajo de un solo actor de la amenaza, que utilizó al menos 24.000 direcciones IP durante el mes pasado para enviar solicitudes maliciosas a los sitios.

Los intentos de compromiso aumentaron después del 28 de abril. La compañía de seguridad de WordPress Defiant, fabricante del plugin de seguridad de Wordfence, detectó el 3 de mayo más de 20 millones de ataques contra más de medio millón de sitios web.

Ram Gall, director de control de calidad de Defiant, dijo que los atacantes se centraron principalmente en la explotación de las vulnerabilidades de cross-site scripting (XSS) en los plugins que recibieron una solución hace meses o años y que habían sido objeto de otros ataques.

Redireccionar a los visitantes a la malversación es un efecto de un compromiso exitoso. Si el JavaScript es ejecutado por el navegador de un administrador que está conectado, el código intenta inyectar una puerta trasera de PHP en el archivo de cabecera del tema junto con otro JavaScript.

El backdoor entonces obtiene otra carga útil y la almacena en el encabezado del tema en un intento de ejecutarlo. “Este método permitiría al atacante mantener el control del sitio” explica Gall.

De esta manera, el atacante podría cambiar a una carga útil diferente que podría ser un webshell, código que crea un administrador malicioso o para borrar el contenido de todo el sitio.

Con información de: ZDNet.