Explotando sitios de WordPress comprometidas no es ninguna novedad en el campo de la seguridad informática.
Sin embargo, algunas campañas parecen ser más graves que otros, y también lo es éste. sitios web corporativos hackeadas de noticias y blogs de WordPress que se ejecutan en la actualidad están siendo explotados por los atacantes en su intento de entregar el malware de puerta trasera.
Este tipo de malware abre la puerta a nuevas cargas maliciosas, incluyendo ladrones de información, varios troyanos, y el software keylogging. Para llevar a cabo estos ataques, los actores de amenazas están utilizando actualizaciones de Chrome falsos.
Hacked sitios de WordPress - Una marcha 2020 Campaña malicioso
La fase inicial de esta campaña maliciosa significa crear acceso de administrador a los sitios y blogs de WordPress dirigidos. Después de que se logra, los actores de amenaza inyectar código JavaScript malicioso que luego se redirigir a los usuarios a la actualización de Chrome falsa.
En vez de recibir una actualización, las víctimas potenciales podrían descargar los instaladores maliciosos que dan el control de sus ordenadores a través de una instalación de TeamViewer. Una vez TeamViewer está instalado en el sistema comprometido, dos archivos SFX protegidos con contraseña cargados con archivos maliciosos serán desarchivarse. Estos contienen los archivos necesarios para abrir la página falsa actualización y permiten conexiones remotas. Una secuencia de comandos específicos a la derivación de Windows incorporado protecciones también se activa.
Lo que el malware se descarga en los sistemas comprometidos?
- El X-Key Keylogger;
- El Predator y Los ladrones de información ladrón;
- Un troyano para el control remoto a través de RDP protocolo.
¿Quién está detrás de estas campañas?
Los investigadores de seguridad al Dr.. Web creen que estos son los mismos actores de amenaza que participaron previamente en la difusión de un instalador falsa de un editor de vídeo VSDC populares a través de su página web oficial y la plataforma de descarga de CNET.
Una campaña maliciosa anterior, descubierto en agosto 2019, apalancado Plugins de WordPress para introducirse en sitios web. Se han encontrado un conjunto de plugins de WordPress populares para contener una debilidad en la seguridad, lo que permite a los piratas informáticos tomar el control de los lugares elegidos para infectarlos con malware.
La lista de plugins de WordPress explotadas incluido simple 301 Redirecciones - Addon - Uploader granel y otros desarrollados por NicDark. Para evitar cualquier tipo de campañas, propietarios de sitios de WordPress deben mantener una estricta higiene de actualización en el que todo se mantiene actualizado y oportuna con el fin, WordPress en sí, así como cualquier software instalado adicionalmente.