Más de 2.000 sitios web de WordPress una vez más se han encontrado infectados con una pieza de malware de criptografía que no solo roba los recursos de las computadoras de los visitantes para extraer monedas digitales, sino que también registra las visitas de cada visitante.

Los investigadores de seguridad en Sucuri descubrieron una campaña maliciosa que infecta sitios web de WordPress con un script malicioso que entrega un minador de criptomonedas en el navegador de CoinHive y un registrador de pulsaciones.

Coinhive es un popular servicio basado en navegador que ofrece a los propietarios de sitios web para insertar un JavaScript para utilizar el poder de las CPU de los visitantes de su sitio web en un esfuerzo por extraer la criptomoneda Monero.

Los investigadores de Sucuri dijeron que los actores amenazados detrás de esta nueva campaña son los mismos que infectaron más de 5.400 sitios web de WordPress el mes pasado, ya que ambas campañas usaron un keylogger / criptomoneda de malware llamado soluciones cloudflare[.].

Descubierta en abril del año pasado, las soluciones Cloudflare[.]. Son malware para minería de cifrado y no están relacionadas en absoluto con Cloudflare, la empresa de gestión de redes y seguridad cibernética. Dado que el malware utilizó el dominio de soluciones cloudflare[.]. Para distribuir inicialmente el malware, se le ha dado este nombre.

El malware se actualizó en noviembre para incluir un keylogger. El registrador de teclas se comporta de la misma manera que en las campañas anteriores y puede robar tanto la página de inicio de sesión del administrador del sitio como la interfaz pública del sitio web.

Si el sitio infectado de WordPress es una plataforma de comercio electrónico, los piratas informáticos pueden robar datos mucho más valiosos, incluidos los datos de las tarjetas de pago. Si los hackers logran robar las credenciales de administrador, solo pueden iniciar sesión en el sitio sin depender de un error para entrar en el sitio.

El dominio de soluciones cloudflare[.]. Se eliminó el mes pasado, pero los delincuentes detrás de la campaña registraron nuevos dominios para alojar sus scripts maliciosos que finalmente se cargan en los sitios de WordPress.

Los nuevos dominios web registrados por piratas informáticos incluyen cdjs[.]. En línea (registrado el 8 de diciembre), cdns[.] Ws (el 9 de diciembre) y msdns[.] en línea (el 16 de diciembre).

Al igual que en la campaña de soluciones cloudflare[.]. Anterior, el script en línea cdjs [.] Se inyecta en una base de datos de WordPress o en el archivo functions.php del tema. Los scripts en línea cdns [.] Ws y msdns [.] también se encuentran inyectados en el archivo functions.php del tema.

La cantidad de sitios infectados para el dominio cdns[.] Ws incluye 129 sitios web y 103 sitios web para cdjs. En línea, según el motor de búsqueda de código fuente PublicWWW, aunque se informó que más de mil sitios fueron infectados por msdns[.] dominio en línea.

Los investigadores dijeron que es probable que la mayoría de los sitios web aún no se hayan indexado.

“Si bien estos nuevos ataques todavía no parecen ser tan masivos como la campaña de soluciones Cloudflare[.]. Original, la tasa de reinfección muestra que todavía hay muchos sitios que no se han protegido adecuadamente después de la infección original. Es posible que algunos de estos sitios web ni siquiera notaron la infección original”, concluyeron los investigadores de Sucuri.

Si su sitio web ya se ha visto comprometido con esta infección, deberá eliminar el código malicioso de functions.php del tema y escanear la tabla wp_posts para una posible inyección.

Se aconseja a los usuarios cambiar todas las contraseñas de WordPress y actualizar todo el software del servidor, incluidos los temas y complementos de terceros, para estar del lado más seguro.

Fuente: Thehackernews.

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

Abejas robot en Marte: El plan de la NASA
Un satélite del Reino Unido hace vídeos en HD de la Tierra
YouTube tendrá soporte para los Samsung Gear VR
Microsoft Surface Go, la apuesta de Microsoft
La inteligencia artificial da un nuevo paso: prevenir suicidios
La IA de Amazon, Alexa enseñará decir “por favor” y “gracias”