Fabian Caballero Cyber Intelligence Engineer
Expertos de seguridad de la entidad Sucuri identificaron un Malware ejecutado sobre WordPress que redirecciona a la víctima desde el sitio web comprometido a sitios falsos, según el análisis entregado por los investigadores se trata de una campaña de Black hat SEO (técnica para mejorar el posicionamiento de una página ante los diferentes motores de búsqueda).
La investigación realizada por Sucuri identificó más de 2.500 sitios en los cuales se presentaron redireccionamientos, esto entre septiembre y octubre del presente año, mientras que el buscador de código PublicWWW indicó que fueron casi 15.000 sitios web los que se vieron afectados por este Malware.
Los atacantes utilizan sitios falsos que contienen preguntas y respuestas de baja calidad como fachada para promover sus sitios web, los cuales han utilizado las mismas plantillas de creación para todos los sitios web identificados y son operados por el mismo grupo de atacantes. Estos inyectan la redirección en una imagen PNG la cual se encuentra alojada en el dominio “ois[.]is”, la victima al tratar de abrir la imagen activa la redirección a una URL de resultado de búsqueda de Google asociada a un dominio de spam controlado por el atacante. Según el informe es muy llamativo que por página web se modificaran hasta 100 archivos, contrastando con otros tipos de Malware donde el objetivo era una cantidad de archivos mucho menor, entre los archivos más utilizados por los atacantes se encuentran los siguientes, wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments- post.php, wp-mail.php, xmlrpc .php, wp-activate.php, wp-trackback.php y wp-blog-header.php.
Es importante resaltar que las redirecciones no se generan bajo dos escenarios, el primero, cuando la cookie wordpress_logged_in se encuentra activa en la página a infectar y el segundo, si la página corresponde a wp-login.php, es decir, la página de inicio de sesión. Como se indicó anteriormente se trata del uso de la técnica de Black hat SEO cuyo objetivo es generar una mayor cantidad de tráfico hacia sus páginas por medio de las redirecciones, buscando engañar a los motores de búsqueda para obtener un mejor posicionamiento y que esto permita incrementar el tráfico real en las mismas.
Recomendaciones:
- Hasta el momento no se ha identificado el método especifico mediante el cual se vulneran los sitios, pero se presume que podría tratarse de accesos exitosos por fuerza bruta sobre las cuentas de administración de WordPress los que permiten la incrustación de las redirecciones en los archivos, por lo que se sugiere habilitar múltiples factores de autenticación para descartar que los usuarios de administración se vean comprometidos y así evitar el compromiso de sus sitios
Fuentes:
