Descubren un keylogger en más de 5.000 sitios web WordPress
Los complementos siempre han sido un problema para los sitios web gestionados utilizando este CMS. A mediados de año, se encontró un número bastante elevado de sitios web WordPress que presentaban un malware que era capaz de minar criptomonedas. Todo parece apuntar que este virus informático ha mutado y ahora se ha convertido en un keylogger capaz de recopilar la información introducida por los visitantes de estas webs.
Para encontrar el origen de esta amenaza, hay que volver hasta el pasado mes de abril, cuando miembros de la empresa de seguridad Sucuri descubrieron más de 5.500 sitios web que utilizaban este CMS infectados con un malware que era capaz de llevar a cabo el minado de criptomonedas, algo que cada vez está más de moda. Desde entonces, han sido muchos los cambios que la amenaza ha sufrido, sobre todo a nivel de comportamiento.
Inicialmente, se valía del archivo functions.php de WordPress para realizar peticiones contra una dirección falsa de Cloudflare para establecer un WebScoket gracias a una librería.
Cuando los expertos en seguridad analizaron en un primer momento la amenaza, el mensaje que aparecía al intentar acceder al falso dominio de Cloudflare era “This Server is part of Cloudflare Distribution Network “. Sin embargo, este mensaje ha cambiado, y ahora se puede leer “This server is part of an experimental science machine learning algorithms project“.
Comportamiento de este keylogger que afecta a sitios web WordPress
Desde abril, han cambiado las cosas. El minado de criptomonedas ha desaparecido (o al menos de momento). El funcionamiento de este malware ha mutado al de un keylogger. Todos los espacios para introducir texto en la web se han visto modificados. Se les ha añadido un manejador que envía la información introducida a la dirección https://cloudflare.com/hp/. Este keylogger es capaz de robar las credenciales de acceso a los perfiles de usuario del servicio web como del propio WordPress. Es decir, la gestión del CMS también se ve comprometida.
Teniendo en cuenta que muchos servicios están conectados, es muy probable que el usuario en algún momento haya introducido las credenciales de una cuenta del Gigante de Internet, Twitter o Facebook. En ese caso, urge la necesidad de realizar la modificación de la contraseña. De lo contrario, las cuentas podrían utilizarse sin el consentimiento del usuario.
Expertos en seguridad también han detectado que se está introduciendo el script de CoinHive para llevar a cabo el minado de monedas. Sin embargo, parece que por el momento no se está haciendo uso de él.
Tengo un sitio web que utiliza WordPress y está afectado: ¿Qué puedo hacer?
Obviamente, existe una solución, aunque no es trivial. Los usuarios que tengan su sitio web afectado deberán buscar en el archivo functions.php la función add_js_scripts y llevar a cabo su borrado. Posteriormente, deberán buscar todas las sentencias en las que se mencione a la función eliminada y proceder a su borrado. De lo contrario, la carga de los elementos del CMS no se realizará de forma correcta.
Terminado este proceso, es recomendable cambiar todas las credenciales de acceso.
Fuente: https://www.redeszone.net/
