Sitios de WordPress son atacados por el malware WP-VCD
- Endpoint
La distribución de esta campaña se basa en que los propietarios de sitios de WordPress buscan acceso gratuito a software pago. Una vez que ha infectado un sitio, el malware instala una puerta trasera permite a los atacantes tomar el control, inyectar código y publicar publicidad maliciosa.
Sophos advierte del resurgimiento de un viejo malware que está asaltando la comunidad de WordPress, permitiendo a sus autores tomar el control de los sitios e inyectar el código de su elección. WP-VCD es un malware cuya aparición se remonta a febrero de 2017, pero recientemente se ha vuelto aún más exitoso, agregando nuevas funciones, y encabezando la lista de infecciones de malware de WordPress desde agosto.
Según publica Wordfence, la distribución de esta campaña se vale de los propietarios de sitios de WordPress que buscan acceso gratuito a software pago. El malware se propaga a través de versiones pirateadas de temas y complementos de WordPress, que los atacantes distribuyen gratuitamente a través de una red de sitios corruptos. Los administradores descargan estos activos y los usan en sus sitios de WordPress, infectando sus propios servidores.
Una vez que ha infectado un sitio, el malware instala una puerta trasera para sus operadores y se comunica con su servidor de comando y control antes de propagarse a otros alojados en la misma infraestructura. Finalmente, elimina el código malicioso en el plugin instalado para cubrir sus huellas.
La puerta trasera permite a los atacantes actualizar el sitio con un nuevo código malicioso, lo que genera dinero de dos maneras. Primero, utilizando técnicas de envenenamiento de motores de búsqueda para manipular los resultados y atraer a los usuarios desprevenidos a sitios maliciosos. Y, segundo, publica anuncios maliciosos en las páginas que visitan las víctimas, lo que permite a los atacantes inyectar JavaScript no autorizado en sus navegadores o redirigirlos a otros sitios web.
El malware WP-VCD WordPress ha sido tan efectivo porque los atacantes pueden usar sitios infectados para propagar el malware. Según Wordfence, el código de publicidad maliciosa se implementa para generar ingresos publicitarios de los sitios infectados, y si la afluencia de nuevas infecciones por WP-VCD se ralentiza, el atacante puede implementar el código para aumentar el tráfico de los motores de búsqueda a sus sitios de distribución y atraer nuevas víctimas. Además, el malware es difícil de limpiar porque inyecta código malicioso en otros archivos del sistema y vigila los archivos infectados para reinfectarlos automáticamente si el administrador intenta limpiarlos.
