Home Sociedad Más de 6000 sitios de WordPress han sido atacados para instalar complementos...

Más de 6000 sitios de WordPress han sido atacados para instalar complementos que impulsan a los ladrones de información

Los sitios de WordPress están siendo hackeados para instalar complementos maliciosos que muestran actualizaciones de software falsas y errores para impulsar malware que roba información.

En los últimos años, el malware que roba información se ha convertido en un flagelo para los defensores de la seguridad en todo el mundo, ya que las credenciales robadas se utilizan para violar las redes y robar datos.

Desde 2023, se ha utilizado una campaña maliciosa llamada ClearFake para mostrar banners de actualización de navegadores web falsos en sitios web comprometidos que distribuyen malware que roba información.

En 2024, se presentó una nueva campaña llamada ClickFix que comparte muchas similitudes con ClearFake, pero en cambio pretende ser mensajes de error de software con correcciones incluidas. Sin embargo, estas “correcciones” son scripts de PowerShell que, cuando se ejecutan, descargarán e instalarán malware que roba información.

Las campañas de ClickFix se han vuelto cada vez más comunes este año, con actores de amenazas que comprometen sitios para mostrar banners que muestran errores falsos para Google Chrome, conferencias de Google Meet, Facebook e incluso páginas captcha.

La semana pasada, GoDaddy informó que los actores de amenazas ClearFake/ClickFix han violado más de 6000 sitios de WordPress para instalar complementos maliciosos que muestran las alertas falsas asociadas con estas campañas.

Los complementos maliciosos utilizan nombres similares a los complementos legítimos, como Wordfense Security y LiteSpeed ​​Cache, mientras que otros usan nombres genéricos inventados.

La lista de complementos maliciosos observados en esta campaña entre junio y septiembre de 2024 son:

LiteSpeed ​​Cache Classic Custom CSS Injector
MonsterInsights Classic Custom Footer Generator
Wordfence Security Classic Custom Login Styler
Search Rank Enhancer Dynamic Sidebar Manager
SEO Booster Pro Easy Themes Manager
Google SEO Enhancer Form Builder Pro
Rank Booster Pro Quick Cache Cleaner
Admin Bar Customizer Responsive Menu Builder
Advanced User Manager SEO Optimizer Pro
Advanced Widget Manage Simple Post Enhancer
Content Blocker Social Media Integrator

Cuando se instala, el complemento malicioso enganchará varias acciones de WordPress según la variante para inyectar un script JavaScript malicioso en el HTML del sitio.

Cuando se carga, este script intentará cargar otro archivo JavaScript malicioso almacenado en un contrato inteligente de Binance Smart Chain (BSC), que luego carga el script ClearFake o ClickFix para mostrar los banners falsos.

Según los registros de acceso al servidor web analizados por Sinegubko, los actores de amenazas parecen estar utilizando credenciales de administrador robadas para iniciar sesión en el sitio de WordPress e instalar el complemento de manera automática.

Una vez que el actor de amenazas inicia sesión, carga e instala el complemento malicioso.

Si bien no está claro cómo los actores de amenazas obtienen las credenciales, el investigador señala que podría ser a través de ataques de fuerza bruta anteriores, phishing y malware que roba información.

Si tiene una operación de WordPress y recibe informes de alertas falsas que se muestran a los visitantes, debe examinar de inmediato la lista de complementos instalados y eliminar todos los que no haya instalado usted mismo.

Si encuentra complementos desconocidos, también debe restablecer de inmediato las contraseñas de los usuarios administradores a una contraseña única que solo se use en su sitio.