Un ciberdelincuente ha ocultado el
código de una puerta trasera de PHP dentro del código fuente de un plugin de
WordPress disfrazado de herramienta de seguridad llamada
“X-WP-SPAM-SHIELD-PRO”. El atacante trataba de rebajar la reputación de un
plugin legítimo y muy popular de WordPress llamado “WP-SpamShield Anti-Spam”,
una popular herramienta anti-spam para los sitios de WordPress alojados por los
propios usuarios.
Puerta
trasera en un falso plugin
En cambio, los usuarios que
descargaron X-WP-SPAM-SHIELD-PRO obtuvieron una desagradable sorpresa en forma
de puerta trasera que permitió al atacante crear su propia cuenta de
administrador en el sitio, cargar archivos en los servidores de la víctima,
deshabilitar todos los complementos y más.
Todo el comportamiento malicioso se
extendió a través de los archivos de plugin falsos. Por ejemplo:
Plugin
falsos
class-social-facebook.php: se presenta
como una herramienta de protección de spam de redes sociales. Sin embargo el
código que se encuentra dentro envía una lista de complementos del usuario al
atacante y deshabilita opcionalmente todos ellos. La razón para inhabilitar
todos los complementos es apagar cualquier otro complemento de seguridad que
bloquee el acceso a las funciones de inicio de sesión o detecte los accesos no
autorizados del hacker.
class-term-metabox-formatter.php:
envía la versión de WordPress del usuario al atacante.
class-admin-user-profile.php: envía
una lista de todos los usuarios administradores de WordPress al atacante.
plugin-header.php: agrega un usuario
admin adicional llamado mw01main.wp-spam-shield-pro.php – filtra el servidor
del hacker ubicado en mainwall.org, dejando al atacante saber cuándo un nuevo
usuario instaló el plugin falso. Los datos que envía este archivo incluyen el
usuario, la contraseña, la URL del sitio infectado y la dirección IP del
servidor.
Cargar
un archivo ZIP
Este último archivo también incluye
código para permitir al atacante cargar un archivo ZIP en el sitio de la
víctima, descomprimirlo y luego ejecutar los archivos dentro.
En el momento en que los
investigadores de seguridad encontraron el complemento malicioso, el archivo
ZIP ofrecido para descarga estaba dañado, pero los expertos creen que el
atacante estaba implementando una versión contaminada del conocido plugin
WordPress de All In One SEO Pack.
De acuerdo con Sucuri, la empresa de
seguridad cibernética que descubrió X-WP-SPAM-SHIELD-PRO, el plugin nunca
estuvo en el repositorio oficial de plugins de WordPress. Fue puesto a
disposición de los usuarios a través de otras fuentes.
En general, el plugin atrae a los
usuarios que se preocupan por la seguridad de su sitio, pero en realidad, es
más perjudicial aún.
Al igual que con Google Play Store, la
App Store de Apple y otras tiendas oficiales, se recomienda a los usuarios de
WordPress que instalen plugins gratuitos del repositorio oficial de
complementos. A pesar de que el repositorio de plugins de WordPress y sus
administradores están lejos de ser perfectos, los complementos ofrecidos para
descarga son utilizados por la comunidad, que a menudo detecta y reporta la
mayoría de estas amenazas a tiempo.
Lo mejor es descargar de los
repositorios oficiales y asegurarnos de la procedencia. Mantener nuestro equipo
actualizado y con un buen software de seguridad, también es importante.
Fuente: Redes Zone.net