Una nueva campaña de malware ha comprometido más de 5.000 sitios de WordPress para crear cuentas de administrador, instalar un complemento malicioso y robar datos.
Los investigadores de la empresa de seguridad de scripts web c/side descubrieron durante un compromiso de respuesta a incidentes para uno de sus clientes que la actividad maliciosa utiliza wp3.[.]xyz para extraer los datos pero aún no ha determinado el vector de infección inicial.
Después de comprometer un objetivo, se carga un script malicioso desde wp3[.]El dominio xyz crea una cuenta de administrador maliciosa wpx_admin con las credenciales disponibles en el código.
Fuente: c/côté
Luego, el script procede a instalar un complemento malicioso (plugin.php) descargado del mismo dominio y lo activa en el sitio web comprometido.
De acuerdo a c/cideEl propósito del complemento es recopilar datos confidenciales, como registros y credenciales de administrador, y enviarlos al servidor del atacante de una manera ofuscada que los haga aparecer como una solicitud de imagen.
El ataque también implica varios pasos de verificación, como registrar el estado de la operación después de que se crea la cuenta de administrador malicioso y verificar la instalación del complemento malicioso.
Bloquear ataques
c/side recomienda que los propietarios de sitios web bloqueen ‘wp3[.]xyz’ usando firewalls y herramientas de seguridad.
Además, los administradores deben revisar otras cuentas privilegiadas y la lista de complementos instalados para identificar actividades no autorizadas y eliminarlas lo antes posible.
Finalmente, se recomienda fortalecer las protecciones CSRF en los sitios de WordPress mediante la generación de tokens únicos, la validación del lado del servidor y la actualización periódica. Los tokens deben tener un tiempo de vencimiento corto para limitar su período de validez.
La implementación de la autenticación multifactor también agrega protección a las cuentas cuyas credenciales ya han sido comprometidas.