Sitios de WordPress hackeados
Sitios de WordPress hackeados

Sitios de WordPress hackeados con alertas de Cloudflare DDoS que llevan a un malware

Los sitios de WordPress están siendo hackeados para mostrar falsas páginas de protección DDoS de Cloudflare, de esta forma logran distribuir un malware que instala NetSupport RAT y el troyano de robo de contraseñas, Raccoon Stealer.

Los sitios de WordPress están siendo hackeados para mostrar falsas páginas de protección DDoS de Cloudflare, de esta forma logran distribuir un malware que instala NetSupport RAT y el troyano de robo de contraseñas, Raccoon Stealer.

Los sitios de WordPress están siendo hackeados para mostrar falsas páginas de protección DDoS de Cloudflare, de esta forma logran distribuir un malware que instala NetSupport RAT y el troyano de robo de contraseñas, Raccoon Stealer.

Es común encontrarnos las conocidas pantallas de protección DDoS (Denegación de servicio distribuida), estos protegen los sitios web de los bots que les hacen ping con solicitudes falsas, con el objetivo de engañarlos con tráfico basura basura.

Sitios de WordPress hackeados llevan a un malware
Sitios de WordPress hackeados llevan a un malware

Los usuarios de internet tratan a estas pantallas de bienvenida, como una molestia inevitable a corto plazo que ayudan a mantener sus recursos en línea favoritos, protegidos de operativos con fines dañinos.

Por otro lado, debemos destacar que desafortunadamente esta característica, sirve como una excelente oportunidad y anzuelo para crear campañas de malware a gran escala.

Ahora al parecer también debemos lidiar con estos dañinos malware en los sitios de WordPress, entérate de todo a continuación y de cómo afrontar tal situación.

Malwares a través de aviso falsos de Cloudflare, Sitios de WordPress 

Como nos lo detallan en este informe de Securi, los actores que llevaron a cabo esta amenaza están pirateando los sitios de WordPress.

Estos se encuentran mal protegidos para agregar una carga útil de Javascript, misma que muestra una pantalla DDoS de protección Cloudflare falsa.

Esta falsa pantalla solicita que el visitante haga clic en un botón para poder omitir la pantalla de protección DDoS, sin embargo, al hacer clic en dicho botón se descargará un archivo con el siguiente nombre «Security_install.iso«.

Este se descarga en tu ordenador y pretende hacerse pasar por una herramienta necesaria para eludir la verificación DDoS, luego de ser descargado les dice a las víctimas que abran Security_install.iso.

Finge ser una aplicación llamada DDOS GUARD, y deberán ingresar el código que la misma pantalla se muestra, cuando un usuario procede a abrir Security_install.iso.

Podrá observar un archivo llamado Security_install.exe, que en realidad no es más que un acceso directo de Windows, que ejecuta un comando de PowerShell desde el mismo archivo debug.txt.

En última instancia, todo esto hace que ejecuten una cadena de secuencias de comando, mismos que muestran el código DDoS falso necesario para poder ver el sitio.

Sitios de WordPress hackeados con alertas de Cloudflare DDoS que llevan a un malware
Sitios de WordPress hackeados con alertas de Cloudflare DDoS que llevan a un malware

Varias clases de malware dedicados a obtener tu información 

Además de esto, instalar NetSupport RAT es un troyano de acceso remoto, mismo que se utiliza ampliamente en muchas campañas maliciosas en la actualidad.

Los Scripts descargarán el troyano de robo de contraseñas Raccoon Stealer, y procederán a ejecutar  en el dispositivo infectado.

Raccoon Stealer volvió a funcionar en junio de este año, pasó cuando sus autores lanzaron su segunda versión principal y la pusieron a disposición de los ciberdelincuentes, claro, bajo un modelo de suscripción.

Raccoon 2.0 apunta de manera directa a las contraseñas, cookies, datos de autocompletado y todas tus tarjetas de créditos guardadas en la web, una amplia gama de billeteras de criptomonedas.

Pero no sólo llega hasta ahí, sino que también es capaz de realizar la filtración de archivos y tomar capturas de pantalla del escritorio de la víctima, algo que los sitios de WordPress se encuentran investigando.

¿Cómo podemos protegernos de este problema en los sitios de WordPress? 

Todos los administradores deben verificar que los archivos de sus sitios de WordPress, ya que, según Sucuri, este sería el punto de infección más común de toda esta campaña.

También se recomienda emplear sistemas de monitoreo de integridad de archivos, con el objetivo de detectar esas inyecciones de JS a medida que ocurren, para lograr evitar que su sitio se transforme en un punto de distribución de RAT.

Finalmente, debemos recordar que descargar archivos ISO, jamás formará parte de los procedimientos anti-DDoS legítimos, por lo que sí lo haces por descuido no debes descomprimir o ejecutar su contenido.

¿Qué opinas tú acerca de todo este problema que ha sufrido algunos sitios de WordPress? Si has llegado a notarlo déjanos saberlo en los comentarios.