Los
ciberdelincuentes tienen la intención de continuar su marcha triunfal y han
puesto en funcionamiento una nueva oleada para infectar más sitios web de la
plataforma WordPress y que se resumen en los más de 100.000 contabilizados.
Funcionamiento
de la infección
- La infección consiste en que aprovechando una vulnerabilidad presente en algunas versiones del complemento RevSlider disponible para WordPress, los ciberdelincuentes han aprovechado para cargar en cada página que posee el sitio web un javascript para conseguir la carga de un malware desde otra página (en este caso SoakSoak.ru, de ahí el nombre del virus). Sin embargo, tal y como era de esperar Google ya ha bloqueado el acceso a la página al detectar la presencia de contenido malicioso, por lo que los ciberdelincuentes deben buscar otra vía para instalar el software malicioso.
- Hasta ahora el ataque se realizaba gracias a wp-includes/js/swfobjct.swf, sin embargo, esto ahora ha cambiado y los ciberdelincuentes están utilizando en esta nueva oleada wp-includes/js/json2.min.js, mucho más elaborado que el anterior y cargando el software desde otro tipo de medio, un servidor FTP.
- La idea de los ciberdelincuentes es conseguir que los usuarios con navegador Firefox o Internet Explorer 11 instalen este complemento que los de acceso al equipo. De esta forma el usuario se encuentra con un problema, ya que la nueva versión utilizada posee una tasa de detección nula según los responsables de VirusTotal.
- La falta de organización por parte de los desarrolladores del complemento ha provocado que aún muchos usuarios utilicen versiones del RevSlider que están afectadas por la vulnerabilidad. Los usuarios que adquirieron el producto desde la página de los desarrolladores fueron parcheados de forma automática a la nueva versión. Sin embargo, existe un número todavía bastante importante de usuario de este complemento que no han recibido la actualización y deberán realizar esta actualización de forma manual.
- De los 100.000 que había con respecto a la anterior oleada, Google ha marcado a 11.000 como sitio web no apropiado, pero se cree que durante la presencia de esta nueva este número se incremente y supere con creces al anterior.
