Un keylogger ataca unas 2.000 páginas de WordPress

0
116
Un keylogger ataca unas 2.000 páginas de WordPress

Los investigadores de seguridad han descubierto más de 2.000 sitios de WordPress. Posiblemente infectados con un registrador de keylogger que se está cargando en la página de inicio de sesión de WordPress y un script de cifrado (minero de criptomoneda en el navegador) en sus interfaces.

Los investigadores han vinculado estos sitios infectados recientemente, con los descubiertos en una operación similar que tuvo lugar a principios de diciembre de 2017.

El ataque es bastante simple. Los malhechores encuentran sitios no seguros de WordPress (usualmente ejecutan versiones anteriores de WordPress o temas y plugins más antiguos). Utilizan exploits para que esos sitios inserten código malicioso en el código fuente del CMS.

El código malicioso incluye dos partes. Una es Para la página de inicio de sesión de administrador. Luego el código carga un keylogger alojado en un dominio de terceros. Para la interfaz del sitio, los ladrones cargan el minero de Coinhive en el navegador y Monero utiliza las CPU de las personas que visitan el sitio.

Los ladrones migran a nuevos dominios

Para la campaña de finales de 2017, los delincuentes cargaron su keylogger desde el dominio “cloudflare.solutions”. Esos ataques afectaron a casi 5,500 sitios de WordPress pero fueron detenidos el 8 de diciembre. Esto cuando el registrador anuló el dominio de los delincuentes.

Según un nuevo informe publicado la semana pasada por Sucuri. La compañía que ha estado rastreando esta campaña desde abril de 2017. Los delincuentes ahora están cargando el registrador de pulsaciones de tres nuevos dominios: cdjs.online, cdns.ws y msdns.online.

Según los datos obtenidos a través de PublicWWW, hay más de 2.000 sitios que están cargando scripts.

Sucuri teme que no todos los sitios afectados se indexen en PublicWWW y que el número de víctimas sea aún mayor.

Se recomienda a los propietarios de sitios web de WordPress que revisen sus sitios. Actualicen todo lo que necesite actualizarse y revisen si se están cargando scripts sospechosos en su página de inicio de sesión.

Atacantes activos desde abril de 2017

Como se mencionó anteriormente, esta campaña ha estado en marcha desde abril de 2017. Durante la mayor parte de 2017, los malhechores estaban ocupados insertando anuncios de banner en los sitios pirateados y cargando scripts de cifrado de Coinhive disfrazados de jQuery falso y archivos JavaScript de Google Analytics.

Fue solo en diciembre cuando este grupo se trasladó a la práctica más tortuosa de recopilar credenciales de administrador a través de un registrador de keylogger.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.