Como si no fuera la primera vez que sitios web basados en WordPress son víctimas de ataques, el analista de malware, John Castro, de la firma de seguridad Sucuri (vía Softpedia), ha encontrado que los atacantes están aprovechando las vulnerabilidades en versiones antiguas del sistema de gestión de contenidos para insertar código malicioso.
Las 12 líneas de código malicioso decodificado se encuentran justo al inicio del archivo header.php, del tema principal del sitio web. En algunos, dicho código se inserta en el archivo con sólo obtener las credenciales de los administradores, para luego modificar el fichero desde el editor de temas.
Pero los sitios web de WordPress no son los únicos afectados, ya que él archivo footer.php de páginas web basadas en Joomla también son blanco de los atacantes, aunque en menor medida. En ocasiones, el código cifrado se encuentra en archivos help.php, pero sin importar dónde se encuentre, funciona de la misma manera.
Una vez que el usuario ingresa a un sitio web infectado, tiene un 15% de probabilidad de ser direccionado a una página web maliciosa. El código establece por medio de una cookie que una vez afectado el usuario no volverá a direccionarlo hasta el año siguiente, a menos, claro, que el rastro sea eliminado.
Los enlaces a los cuales son direccionados los visitantes son default7.com, test246.com, test0.com, distinctfestive.com, y ableoccassion.com, aparentemente revelados al compartir en Facebook el enlace del sitio WordPress. Estos a su vez redireccionan a otras páginas que pueden considerarse aún más peligrosas.
Por ejemplo, quienes usan Internet Explorer son redireccionados a páginas que ofrecen malware y se muestran como actualizaciones para software como Flash Player o Java. Al caer en la trampa comienza la descarga de un archivo ejecutable que es reconocido como malware por 27 proveedores de antivirus.
Son más de 6.400 los sitios web afectados por código malicioso que direcciona a sus visitantes a páginas con contenido malicioso, los cuales se pueden recuperar simplemente eliminando el código cifrado al inicio de los archivos PHP mencionados, para luego actualizar a una versión más reciente de los gestores de contenidos involucrados.
Opinar es gratis, como siempre. No olviden seguirnos y comentar en Facebook.
No hay comentarios:
Publicar un comentario