Clicky

Masiva campaña de malware infecta más de 39.000 sitios WordPress con redirecciones fraudulentas

malware en WordPress

El ataque, denominado Sign1, utiliza inyecciones maliciosas de JavaScript

Una campaña masiva de malware denominada Sign1 ha comprometido más de 39.000 sitios de WordPress en los últimos seis meses, utilizando inyecciones maliciosas de JavaScript para redirigir a los usuarios a sitios fraudulentos.

Se estima que la variante más reciente del malware ha infectado no menos de 2.500 sitios sólo en los últimos dos meses, dijo Sucuri en un informe publicado esta semana.

Los ataques implican inyectar JavaScript fraudulento en widgets y plugins HTML legítimos que permiten insertar JavaScript arbitrario y otros códigos, brindando a los atacantes la oportunidad de agregar su código malicioso.

El código JavaScript codificado con XOR se decodifica posteriormente y se utiliza para ejecutar un archivo JavaScript alojado en un servidor remoto, lo que en última instancia facilita las redirecciones a un sistema de distribución de tráfico (TDS) operado por VexTrio, pero solo si se cumplen ciertos criterios.

Es más, el malware utiliza aleatorización basada en el tiempo para recuperar URL dinámicas que cambian cada 10 minutos para sortear las listas de bloqueo. Estos dominios se registran unos días antes de su uso en ataques.

"Una de las cosas más notables de este código es que busca específicamente ver si el visitante proviene de algún sitio web importante como Google, Facebook, Yahoo, Instagram, etc.", dijo el investigador de seguridad Ben Martin. "Si el referente no coincide con estos sitios principales, entonces el malware no se ejecutará".

Luego, los visitantes del sitio son dirigidos a otros sitios fraudulentos ejecutando otro JavaScript desde el mismo servidor.

La campaña Sign1, detectada por primera vez en la segunda mitad de 2023, ha sido testigo de varias iteraciones, y los atacantes aprovecharon hasta 15 dominios diferentes desde el 31 de julio de 2023.

Se sospecha que los sitios de WordPress han sido tomados mediante un ataque de fuerza bruta, aunque los adversarios también podrían aprovechar las fallas de seguridad en plugins y temas para obtener acceso.

"Muchas de las inyecciones se encuentran dentro de los widgets HTML personalizados de WordPress que los atacantes agregan a los sitios web comprometidos", dijo Martin. "Muy a menudo, los atacantes instalan un plugin CSS y JS personalizado simple y legítimo e inyectan el código malicioso utilizando este plugin".

Este enfoque de no colocar ningún código malicioso en los archivos del servidor permite que el malware permanezca sin ser detectado durante largos períodos de tiempo, dijo Sucuri.

Jesus_Caceres