Un ataque de malware masivo ha comprometido la seguridad de más de 5.000 sitios web de WordPress en todo el mundo. Este ciberataque, que utiliza un script malicioso alojado en el dominio wp3[.]xyz, ha generado serias preocupaciones en la comunidad digital debido a su capacidad para infiltrarse, recopilar datos y crear cuentas de administrador no autorizadas.

Detalles del ataque

El malware se infiltra en los sitios web a través de un script identificado como https://wp3[.]xyz/td.js, que una vez ejecutado, realiza varias operaciones maliciosas:

1. Creación de cuentas administrativas no autorizadas: Utilizando credenciales predefinidas (nombre de usuario: wpx_admin), el script establece acceso administrativo al sitio.
2. Descarga e instalación de plugins maliciosos: Posteriormente, el script activa un plugin malicioso que permite el envío de datos sensibles a servidores remotos.
3. Registro de actividad y envío de datos: Los datos recopilados, incluidos credenciales y registros de operación, se envían de manera oculta a través de solicitudes disfrazadas como imágenes.

Aunque el vector inicial de acceso aún no ha sido identificado, los investigadores recomiendan medidas urgentes para proteger los sitios vulnerables.

Cómo identificar si tu sitio está comprometido

Los expertos recomiendan que los administradores de WordPress revisen sus sitios en busca de señales de infección. Algunas acciones clave incluyen:

• Revisión de cuentas de administrador: Comprobar la existencia de usuarios no autorizados, especialmente aquellos con el nombre wpx_admin.
• Validación de plugins instalados: Identificar y eliminar cualquier plugin desconocido o sospechoso.
• Búsqueda de referencias maliciosas: Utilizar herramientas como PublicWWW o URLScan.io para detectar conexiones con el dominio wp3[.]xyz.

Funcionamiento técnico del script malicioso

El malware opera mediante una serie de pasos técnicos avanzados:

1. Obtención del token CSRF: El script recopila el token necesario para realizar cambios en el sistema de usuarios.
2. Creación de usuarios: Con el token, genera una cuenta administrativa utilizando credenciales predefinidas.
3. Instalación de plugins maliciosos: Descarga un plugin desde el dominio wp3[.]xyz y lo instala en el sitio comprometido.
4. Comunicación con servidores remotos: Envía datos sensibles a través de solicitudes encriptadas para dificultar su detección.

Consejos de protección

Los administradores pueden tomar medidas inmediatas para prevenir y mitigar los efectos de este ataque:

1. Bloqueo del dominio malicioso: Configurar firewalls para evitar cualquier comunicación con wp3[.]xyz.
2. Implementación de autenticación multifactor (MFA): Fortalecer la seguridad de las cuentas administrativas.
3. Auditoría de usuarios y plugins: Verificar regularmente la legitimidad de los usuarios y complementos instalados en el sistema.
4. Fortalecimiento de la protección CSRF: Revisar y optimizar las configuraciones de seguridad para evitar vulnerabilidades en formularios.

Soluciones preventivas

Herramientas como c/side han demostrado ser efectivas en la detección y bloqueo de scripts maliciosos en tiempo real. Este software, utilizado por uno de los sitios afectados, logró identificar y neutralizar el malware antes de que pudiera causar mayores daños.

Para los sitios que aún no cuentan con una solución de seguridad avanzada, los expertos recomiendan considerar servicios de protección automatizada que analicen y filtren scripts sospechosos de manera proactiva.

Un recordatorio sobre la ciberseguridad

El ataque masivo del malware WP3[.]XYZ subraya la importancia de mantener prácticas robustas de ciberseguridad, especialmente para los administradores de WordPress. Realizar auditorías periódicas, actualizar plugins y temas, y contar con medidas avanzadas de protección puede marcar la diferencia entre una web segura y un sistema comprometido.

La prevención es la clave para garantizar la seguridad en un entorno digital cada vez más complejo y desafiante.

vía: Cside