Sitios web en WordPress nuevamente comprometidos. Los investigadores de seguridad cibernética han revelado una campaña masiva que es responsable de inyectar código JavaScript malicioso en sitios web de WordPress con el objetivo de redirige a los visitantes a páginas fraudulentas y otros sitios web maliciosos para generar tráfico ilegítimo.
Cabe mencionar que está no es la primera vez que informamos acerca de las vulnerabilidades de los sitios web creados en WordPress, anteriormente avisamos acerca de una vulnerabilidad de un plugin muy utilizado en la plataforma y hasta los recientes ataques DDoS que también hacían uso de sitios en WordPress.
Piratean sitios web en WordPress para redirigir trafico
Vía Sucuri, los sitios web afectados compartían un problema en común, les habían inyectado código JavaScript malicioso en el sitio, en la base de datos y en los archivos legítimos del núcleo de WordPress.
El procedimiento implica infectar archivos como jquery.min.js y jquery-migrate.min.js con JavaScript ofuscado que se activa en cada carga de página, lo que permite al atacante redirigir a los visitantes del sitio web a otro previamente elegido por los atacantes.
Por otra parte, la compañía de seguridad de sitios web propiedad de GoDaddy ha mencionado que los dominios al final de la cadena de redirección podrían usarse para cargar anuncios, páginas de phishing, malware o incluso activar otro conjunto de redirecciones.
En algunos casos, los usuarios desprevenidos son llevados a una página de destino de redirección no autorizada que contiene una verificación de CAPTCHA falsa, al hacer clic se muestran anuncios no deseados que están disfrazados para parecer que provienen del sistema operativo y no de un navegador web.
Cadena maliciosa de redireccionamientos
Para lograr estos redireccionamientos, la inyección maliciosa crea un nuevo elemento de secuencia de comandos con el dominio legendtable[.]com como fuente.
El código del dominio legendtable[.] com luego llama a un segundo dominio externo, local[.]drakefollow[.]com , que llama desde links[.]drakefollow[.]com, redirigiendo al visitante del sitio a uno de muchos dominios que incluyen:
- bluestringline[.]com
- browntouchmysky[.]com
- redstringline[.]com
- whitetouchmysky[.]com
- gregoryfavorito[.]espacio
- gregoryfavorito[.]superior
- pushnow[.]net/
Al parecer está campaña de ataques hacia WordPress va en crecimiento, ya que en el mes de mayo, se detecto una violación de un total de 322 sitios web, mientras que el reciente, que ha pasado en abril han logrado piratear más de 6500 sitios en WordPress, por lo cual, es bastante preocupante el tema.
