Una nueva campaña de
malware ha sido descubierta, la cual está infectando a sitios web con Wordpress,
instalando un KeyLogger, que además está siendo aprovechado para minar
bitcoins.
WordPress es un
sistema de gestión de contenidos (CMS) enfocado a la creación de blogs,
desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers
debido a su facilidad de uso y sus características como gestor de contenidos.
El malware ha sido
descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el
cual tenía sospechas de que esta nueva campaña podría estar ligada a la que sufrió
este CMS en diciembre de 2017, en la cual fueron afectados unos 5.500 sitios
web. El motivo fue debido a dos ataques realizados en los que se utilizó este
keylogger. Un malware llamado “cloudflare[.]solutions”, aunque habría que
aclarar que este malware no tiene nada que ver con la empresa Cloudflare.
El nombre de este
malware es debido a que los scripts que utilizaban los recursos de este
dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos
nombres registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.
El ataque se realiza
en sitios Wordpress con una seguridad débil, por medio de la inyección de
scripts en base de datos (en tabla “wp_posts”) o en el archivo “functions.php”,
característicos de esta plataforma.
Como medida de
limpieza, se recomienda eliminar el código malicioso de los ficheros de temas
“functions.php”, revisar las tablas “wp_posts” de la base de datos y cambiar
las contraseñas.
Más información:
- Sucuri Blog https://blog.sucuri.net/2018/01/cloudflare-solutions-keylogger-returns-on-new-domains.html
- Threatpost https://threatpost.com/keylogger-campaign-returns-infecting-2000-wordpress-sites/129676/
Fuente: Hispasec