Comprar complementos populares con una gran base de usuarios y usarlos para campañas maliciosas sin esfuerzo se ha convertido en una nueva tendencia para los malos actores.

Uno de estos incidentes ocurrió recientemente cuando el reconocido desarrollador BestWebSoft vendió un popular plugin de Captcha WordPress a un comprador no revelado, quien luego modificó el complemento para descargar e instalar una puerta trasera oculta.

En una publicación de blog publicada el martes, la empresa de seguridad WordFence reveló por qué WordPress lanzó recientemente un popular plugin de Captcha con más de 300,000 instalaciones activas de su tienda oficial de complementos.

Al revisar el código fuente del complemento Captcha, WordFence encontró una puerta trasera severa que podría permitir que el autor del complemento o los atacantes obtuvieran acceso administrativo de forma remota a los sitios web de WordPress sin requerir ninguna autenticación.

El complemento se configuró para extraer automáticamente una versión actualizada de “backdoored” desde una URL remota – https [: //] simplywordpress [dot] net / captcha / captcha_pro_update.php – después de la instalación desde el repositorio oficial de WordPress sin el consentimiento del administrador del sitio.

Este código backdoor fue diseñado para crear una sesión de inicio de sesión para el atacante, que es el autor del complemento en este caso, con privilegios administrativos, lo que les permite acceder a cualquiera de los 300,000 sitios web (usando este complemento) de forma remota sin requerir ninguna autenticación.

“Esta puerta trasera crea una sesión con el ID de usuario 1 (el usuario administrador predeterminado que crea WordPress cuando la instala por primera vez), establece las cookies de autenticación y luego se borra a sí mismo”, dice la publicación de blog de WordFence. “El código de instalación de puerta trasera no está autenticado, lo que significa que cualquiera puede activarlo”.

Además, el código modificado extraído del servidor remoto es casi idéntico al código en el repositorio legítimo de complementos, por lo tanto “desencadenar el mismo proceso de actualización automática elimina todos los rastros del sistema de archivos de la puerta trasera”, haciendo que parezca que nunca estuvo allí y ayudando el atacante evita la detección.

La razón detrás de la adición de una puerta trasera no está clara en este momento, pero si alguien paga una buena cantidad para comprar un popular plugin con una gran base de usuarios, debe haber un motivo importante detrás.

En casos similares, hemos visto cómo las pandillas cibernéticas organizadas adquieren plugins populares y aplicaciones para infectar sigilosamente a su gran base de usuarios con malware, adware y spyware.

Al determinar la identidad real del comprador del complemento Captcha, los investigadores de WordFence descubrieron que el dominio de la red simplywordpress [dot] que sirve el archivo de la puerta trasera estaba registrado a nombre de “Stacy Wellington” con la dirección de correo electrónico “scwellington[at]hotmail.co.uk.”

Al utilizar búsquedas inversas de whois, los investigadores encontraron una gran cantidad de dominios registrados para el mismo usuario, que incluyen Convertirme emergente, Muerte a comentarios, Captcha humana, Recaptcha inteligente e Intercambio social.

¿Qué es interesante? Todos los dominios mencionados anteriormente reservados para el usuario contenían el mismo código de puerta trasera que los investigadores de WordFence encontraron en Captcha.

WordFence se ha asociado con WordPress para parchar la versión afectada del complemento Captcha y ha impedido que el autor publique las actualizaciones, por lo que se recomienda encarecidamente a los administradores de sitios web que reemplacen su complemento con la última versión oficial de Captcha 4.4.5.

WordFence ha prometido publicar detalles técnicos detallados sobre cómo funciona la instalación y ejecución de puerta trasera, junto con un exploit de prueba de concepto después de 30 días para que los administradores tengan suficiente tiempo para parchar sus sitios web.

Fuente: Thehackernews

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

La IA de Amazon, Alexa enseñará decir “por favor” y “gracias”
YouTube tendrá soporte para los Samsung Gear VR
Codiciosos piratas informáticos norcoreanos que atacan las criptomonedas y los terminales de punto de venta
Se filtran especificaciones sobre el Nokia 9
La red neuronal de DroNet enseña UAV para navegar por las calles de la ciudad