Se ha detectado una nueva campaña maliciosa contra los sitios web de WordPress.
Campaña de malware contra sitios de WordPress: 15,000 Sitios afectados
Los investigadores de seguridad han detectado "un aumento en el malware de WordPress que redirige a los visitantes del sitio web a Q falso&Un sitio.” La campaña es un ejemplo de blackhat SEO y redirecciones SEO maliciosas con el objetivo de aumentar la autoridad de los sitios de los piratas informáticos para los motores de búsqueda. Descubierto por investigadores de Sucuri, la campaña ha afectado a aproximadamente 15,000 sitios web, con redireccionamientos maliciosos detectados en más de 2,500 sitios web entre septiembre y octubre, 2022. Los sitios afectados contienen “una gran cantidad de archivos infectados – casi 20,000 detecciones en total,según los propios hallazgos de Sucuri.
Los investigadores señalan que la campaña es bastante inusual en el sentido de que los piratas informáticos están promocionando una pequeña cantidad de Q falsos de baja calidad.&Un sitios. Otro dato curioso de la campaña es la gran cantidad de archivos infectados detectados en las webs. En general, su número es bastante pequeño para disminuir la tasa de detección. Los archivos principales de WordPress son los más afectados, así como archivos .php creados por otras campañas de malware no relacionadas.
La parte superior 10 Los archivos más comúnmente infectados incluyen los siguientes:
./registro-wp.php
./wp-cron.php
./wp-enlaces-opml.php
./wp-configuraciones.php
./wp-comentarios-post.php
./wp-mail.php
./xmlrpc.php
./wp-activar.php
./wp-trackback.php
./wp-blog-encabezado.php
También es de destacar que, porque el malware manipula las operaciones centrales de WordPress, los redireccionamientos que activa pueden ejecutarse "en los navegadores de quienquiera que visite el sitio". Para evitar ser notado, las redirecciones no ocurrirán en caso de que la cookie wordpress_logged_in esté presente, o si la página actual es wp-login.php.
¿Cuál es el propósito de esta campaña maliciosa de BlackHat SEO??
Dado que este es un ejemplo de blackhat SEO, el único propósito de los atacantes es aumentar el tráfico a los mencionados anteriormente, Q de baja calidad&A sitios y aumentar la autoridad de estos sitios para Google. Esto se logra iniciando una redirección a una imagen PNG alojada en el ois[.]es dominio. En lugar de cargar una imagen, lleva al visitante del sitio web a un resultado de búsqueda de Google de una Q maliciosa&Un dominio.
Aún no se ha aclarado cómo ocurre la infección inicial de los sitios de WordPress.. Hasta aquí, los investigadores no han notado que las vulnerabilidades del complemento de WordPress se aprovechen en la campaña. Los atacantes podrían estar utilizando ataques de fuerza bruta contra las cuentas de administrador de WordPress. Para evitar que esto suceda, es aconsejable habilitar la autenticación de dos factores y asegurarse de que su software esté actualizado.
Realizar una verificación de integridad del archivo central es otro paso que recomiendan los investigadores. “Si puede identificar algún archivo con este malware, asegúrese de consultar su sistema de archivos en busca de otros archivos que contengan la misma inyección.; es casi seguro que habrá bastantes más,” Sucuri dijo.
A principios de este año, investigadores descubrieron otra campaña maliciosa que usado envenenamiento de SEO para engañar a las víctimas potenciales para que descarguen el malware BATLOADER. Los atacantes utilizaron sitios maliciosos repletos de palabras clave de productos de software populares., y usó el envenenamiento de optimización de motores de búsqueda para que aparezcan más arriba en los resultados de búsqueda. Los investigadores de Mandiant también observaron una técnica de evasión inteligente que se basaba en mshta.exe, una utilidad nativa de Windows diseñada para ejecutar archivos de aplicaciones HTML de Microsoft (HTA).