Un grupo de hackers está explotando vulnerabilidades en más de diez plugins de WordPress buscando crear cuentas de administrador falsas en sitios usando WordPress, el sistema de administración de contenidos más popular en el Internet.
Los ataques son parte de una campaña de hacking que comenzó el mes pasado. Durante ataques anteriores, los hackers explotaron vulnerabilidades en los mismos plugins para plantar malware en los sitios pirateados. Este código estaba destinado a mostrar anuncios emergentes o redirigir a los visitantes entrantes a otros sitios web.
Sin embargo, hace dos semanas, el grupo detrás de estos ataques cambió su táctica. Mikey Veenstra, analista de amenazas de la empresa de seguridad cibernética Defiant, dijo a ZDNet que a partir del 20 de agosto, el grupo de hackers modificó el malware plantado en sitios hackeados.
Pop-ups, Malware y Backdoors
En lugar de simplemente insertar ventanas emergentes (pop-ups) y redireccionamientos, el malware también ejecutó una función para probar si el visitante del sitio tenía la capacidad de crear cuentas de usuario en el sitio, una característica solo disponible para las cuentas de administrador de WordPress.
Básicamente, este malware esperaba que el propietario del sitio acceda a sus propios sitios web. Cuando lo hicieron, el malware creó una nueva cuenta de administrador llamada wpservices, utilizando la dirección de correo electrónico de wpservices@yandex.com y la contraseña de w0rdpr3ss .
Al crear estas cuentas, el grupo de hackers detrás de esta campaña cambió las tácticas de explotar sitios para obtener ganancias monetarias, para agregar también puertas traseras (backdoors) para uso futuro y para un punto de apoyo más persistente.
El ataque de los plugins
De acuerdo con Veenstra, estos ataques recientes apuntan a vulnerabilidades en los siguientes plugins de WordPress.
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
- Todos los plugins anteriores de NicDark (nd-booking, nd-travel, nd-learning, y otros)
Los plugins están vinculados a sus respectivas vulnerabilidades, por lo que los lectores pueden determinar la versión que necesitan actualizar, para evitar ataques en caso de que estén utilizando uno de los plugins anteriormente mencionados.
Además de actualizar los anteriores plugins, también se recomienda a los propietarios de sitios que verifiquen los nombres de usuario de administrador registrados en sus sitios. La eliminación de estas cuentas previa a la actualización de los plugins es imprescindible, ya que su único propósito es crear un camino de regreso a los sitios web después de que los usuarios actualicen los plugins vulnerables.
Limpiar sitios infectados de WordPress puede ser bastante complicado, ya que los propietarios de sitios también tendrán que escanear sus sitios web con plugins de seguridad de WordPress en busca de otros mecanismos de puerta trasera que los hackers podrían haber dejado atrás. Se aconseja a los usuarios no técnicos que busquen ayuda profesional.