Plugin de SEO falso usado en ataques a WordPress

Un malware disfrazado de plugin de SEO llamado WP-Base-SEO ha infectado cerca de 4.000 sitios de WordPress en las últimas dos semanas, según los expertos en seguridad. La intención de los hackers detrás del malware es esconderse a simple vista, apareciendo como complemento de SEO legítimo, al mismo tiempo creando una puerta trasera para la cuenta de WordPress.

“Han robado el código de un plugin de SEO existente y lo han modificado para que aparezca como legítimo. De esta manera, si un dueño del sitio de WordPress busca actividad sospechosa, fácilmente podrían pasarlo por alto como un plugin de SEO legítimo “, dijo Weston Henry, analista de seguridad líder en la firma de seguridad SiteLock, que encontró el plugin falso. El plugin WP-Base-SEO es una falsificación de un plugin legítimo de optimización de motores de búsqueda, WordPress SEO Tools.

El medio en el que se está instalando el plugin es probable a través de la exploración automatizada masiva de sitios de WordPress donde los atacantes están buscando complementos obsoletos o temas de WordPress, dijo Henry. Un número desproporcionado de infecciones están en las instalaciones de WordPress que ejecutan una versión obsoleta del complemento de diapositivas de WordPress llamado RevSlider.

RevSlider es un complemento popular de WordPress que ha sido ligado a una serie de compromisos de sitios de alto perfil en los últimos años. En abril de 2016, una versión desactualizada de RevSlider fue culpada por la masiva filtración de datos de 2,5 terabytes conocida como “Panama Papers”. En julio, los atacantes apuntaron a los sitios web de WordPress que ejecutaban RevSlider plantando Neutrino Exploit Kit en páginas web que intentaban Instalar el ransomware CryptXXX en los visitantes.

“Creemos que RevSlider es sólo una parte de la mezcla cuando se trata de las vulnerabilidades que estos adversarios buscan explotar. También podría ser que están utilizando credenciales robadas o están utilizando ataques de contraseña de fuerza bruta contra estos sitios “, dijo Henry.

Un análisis más detallado del malware de WP-Base-SEO revela su intención maliciosa en forma de una solicitud de eval PHP codificada en base64. “Eval es una función de PHP que ejecuta código PHP arbitrario. Se utiliza comúnmente con fines maliciosos y php.net recomienda no utilizarla”, dijo SiteLock.

Las recomendaciones, además de escanear su sitio, Henry dijo que los administradores de sitios deben estar familiarizados con los archivos asociados con su instalación de WordPress y asegurarse de que tienen un inventario de complementos (plugins). “Vale la pena repetir, es muy importante mantener tus plugins y temas de WordPress actualizados”, dijo.

Información técnica aquí.

Leave a Reply