En esta ocasión, y al menos de momento, más de 100 blogs que utilizan WordPress han
sido comprometidos y se están utilizando para distribuir una familia de virus.
Orígenes
de la distribbución del malware
- En esta ocasión, la falta de actitud por parte de loa administradores de los sitios web ha permitido que los ciberdelincuentes se hagan con el ansiado botín, poniendo a su disposición más de un centenar de páginas que a día de hoy les sirve para distribuir contenido malicioso en forma de archivos comprimidos. Sin embargo, expertos en seguridad han detectado que a la hora de distribuir esta familia de virus los ciberdelincuentes también se ayudan de los correos electrónicos spam y de mensajes en diferentes redes sociales en forma de sorteos.
- A modo de pista para identificar los sitios web afectados, hay que añadir que los expertos en seguridad se han percatado que todos los blogs de WordPress afectados por el problema contienen la siguiente cadena de texto al final de la dirección URL: /1.php?r.
- El más pesado de todos los archivos se trata de un versión de Upatre, también conocido como el intermediario que sirve para que otro contenido malicioso pueda llegar al equipo. Los dos que poseen un tamaño apenas superior a 100 KB son los instaladores de dos variantes del troyano Rovnix, mientras que las dos restantes pertenecen a Zeus y Dyreza, conocidos para la mayoría de los usuarios que nos leen a diario ya que no es la primera vez que hacemos referencia a estos. Tal y como se puede ver los ciberdelincuentes juegan con los nombres y extensiones de los programas para hacer creer al usuario que se trata de los archivos indicados en la página, es decir, documentos de texto.
- Sin embargo, Upatre no es el único instalador utilizado en esta ocasión, ya que se ha detectado la presencia también del malware Hencitor, otro instalador de software que no es tan conocido como el anterior pero que desempeña una función parecida. El problema es que este último posee una tasa de detección bastante baja, provocando que la mayoría de los equipos sean vulnerables a pesar de disponer de una herramienta de seguridad instalada.
