Los equipos de Threat Intelligence y Site Cleaning han estado rastreando una campaña de malware que redirige a todos los visitantes del sitio a dominios de publicidad maliciosa, mientras intentan mantener a los administradores del sitio inconscientes de la infección. Desde el 1 de junio de 2021, la cantidad de sitios que se han rastreado y que han sido infectados con este malware se han duplicado, y esperamos que esta campaña continúe ganando impulso ya que se basa en un mecanismo que es difícil de bloquear directamente.

Por esta razón expertos en Ciberseguridad recomiendan asesoramiento de la gestión de recursos digitales para evaluar posibles brechas los sistemas y plataformas de una empresa que podrían dejar expuesta ataques de hackers.

Con relación a este ataque, Jetpack es uno de los complementos más populares en el repositorio de WordPress y tiene una increíble variedad de características que requieren que los usuarios conecten sus sitios a una cuenta de WordPress.com. Una de estas características permite a los usuarios que han iniciado sesión en WordPress.com realizar tareas administrativas, incluida la instalación de complementos, en sitios que están conectados a WordPress.com a través de Jetpack.

Desafortunadamente, esto significa que si las credenciales de una cuenta de WordPress.com están comprometidas, un atacante puede iniciar sesión en esa cuenta de WordPress.com e instalar complementos arbitrarios en el sitio de WordPress conectado sin importar dónde esté alojado. Esto incluye el complemento malicioso utilizado en esta campaña. Hemos escrito sobre este vector de intrusión en el pasado y está recuperando popularidad debido a una serie de violaciones de datos recientes de otros servicios.

Para aclarar, no se ha producido ninguna violación de datos en WordPress.com. Sin embargo, la reutilización de contraseñas es increíblemente común, y es probable que las credenciales obtenidas de violaciones de datos recientes otorguen acceso a varias cuentas de usuario de WordPress.com. Además, aunque es posible configurar Jetpack para permitir el inicio de sesión directo en un sitio a través de las credenciales de WordPress.com, esta configuración no necesita estar habilitada para que un sitio sea vulnerable. Todo lo que se requiere es que un sitio esté conectado a una cuenta de WordPress.com que tenga credenciales comprometidas.

¿Qué tengo que hacer?
Si usa Jetpack, debe activar la autenticación de 2 factores en WordPress.com. Si bien recomendamos encarecidamente el uso de una aplicación móvil o una clave de seguridad para esto, incluso la autenticación de 2 factores basada en SMS es significativamente más segura que confiar únicamente en las contraseñas.

Si usa la misma contraseña para su cuenta de WordPress.com que ha usado para cualquier otro servicio, cambie su contraseña de WordPress.com inmediatamente.

Si su sitio se ha visto comprometido, la restauración de una copia de seguridad reciente definitivamente puede ser una opción si puede identificar la última copia de seguridad limpia conocida. Revisar sus archivos de registro puede ayudar.

Indicadores de compromiso
La mayoría de las infecciones que se han visto tienen los siguientes complementos y nombres de archivo:

wp-content/plugins/Plugin/plug.php
wp-content/plugins/plugs/plugs.php
wp-content/plugins/Builder/Builder.php

Los hash MD5 más comunes asociados con esta campaña son:

8378f4e6c5d3941f00c70715713ce299
e7138bb2cd788dfba7ccfdc43e81065f
1288a440de78d25860809dde12f1dfa5
a5a0e5ab2381d5dedff1e91480d2b5d4
256e92647f880ad60f381a5a9cf66be7

Estos complementos maliciosos verifican si el visitante del sitio está en la página de inicio de sesión o si inició sesión como administrador. Cualquier visitante que no cumpla con estos criterios será redirigido a una de las varias docenas de dominios punycode maliciosos.

Se han enumerado los dominios asociados con la variante más prevalente:

xn--i1abh6c[.]xn--p1ai
xn--80adzf[.]xn--p1ai
xn--o1aofd[.]xn--p1ai
xn--g1aey4a[.]xn--p1ai
xn--80ady8a[.]xn--p1ai
xn--g1asqf[.]xn--p1ai