Un nuevo malware en Linux, hasta ahora desconocido, ha estado explotando 30 vulnerabilidades en múltiples complementos y temas obsoletos de WordPress para inyectar JavaScript malicioso.
Según se desprende de un informe del proveedor de soluciones antivirus Dr. Web, el malware está dirigido a sistemas Linux de 32 y 64 bits. Su principal funcionalidad es hackear sitios de WordPress utilizando un conjunto de exploits codificados que se ejecutan sucesivamente, hasta que uno de ellos funciona.
«Si los sitios web utilizan versiones desactualizadas de estos complementos (‘add-ons’), carecen de parches básicos y cruciales», apuntan desde Dr. Web, destacando que eso las convierte en objetivo de inyecciones de Javascript malicioso.
En consecuencia, cuando un usuario hace clic en cualquier sitio de la página web infectada, se le redirige a otra maliciosa.
Algunos de los complementos que están afectados son:
- WP Live Chat Support
- Yuzo Related Posts
- Yellow Pencil Visual CSS Style Editor
- Easy WP SMTP
- WP GDPR Compliance
- Newspaper (CVE-2016-10972)
- Thim Core
- Smart Google Code Inserter (descontinuado desde el 28 de enero de 2022)
- Total Donations
- Post Custom Templates Lite
- Así funciona el malware contra WordPress
Si el sitio web ejecuta una versión desactualizada y vulnerable con cualquiera de los complementos afectados, el malware consigue automáticamente Javascript malicioso de su servidor C2 (comando y control) e inyecta el script en el sitio web.
Las páginas infectadas actúan redireccionando a una ubicación elegida por el ciberdelincuente, por lo que este método funciona mejor en aquellas páginas web que están más desactualizadas.
A la hora de redireccionar a otros sitios, los ciberdelincuentes lo utilizan para campañas de phishing, distribución de malware y publicidad maliciosa. No obstante, no se descarta que los autores de esta amenaza la puedan estar vendiendo a otros ciberdelincuentes.
Desde Dr. Web también han señalado que las dos variantes existentes contienen una funcionalidad que actualmente está inactiva. Sin embargo, de utilizarse, permitiría realizar ataques de fuerza bruta contra cuentas de administradores de sitios web.
Para protegerse contra esta amenaza se requiere que los administradores de sitios web de WordPress actualicen los temas y complementos a la última versión disponible y reemplacen los que no están desarrollados con alternativas compatibles.
Asimismo, el uso de contraseñas seguras y la activación del mecanismo de doble factor de autenticación debería garantizar la protección contra ataques de fuerza bruta.
