Los investigadores de ciberseguridad de Malwarebytes han descubierto una serie de WordPress (se abre en una pestaña nueva) sitios web que fueron comprometidos e infectados con un complemento malicioso que silenciosamente genera tráfico publicitario.
en una entrada de blog (se abre en una pestaña nueva) Al detallar sus hallazgos, se dijo que se violaron «unas pocas docenas» de sitios web de WordPress, y quienquiera que estuviera detrás del ataque instaló una puerta trasera llamada «fuser-master».
Fuser-master es todo un trabajo. Primero genera una URL específica, y si un usuario hace clic en ella, será redirigido al blog legítimo, pero con una página emergente. Ese popunder, comprado en una página diferente, mostrará varios anuncios.
Imitando el comportamiento humano
El complemento de WordPress luego imitará el comportamiento humano, desplazándose un poco por la página, antes de hacer clic en un anuncio. Si el usuario se desplaza, mueve el mouse o hace clic en cualquier cosa, el complemento detendrá su actividad, ocultando aún más su presencia.
También se dijo que la página popunder se actualizaba de vez en cuando, cargando anuncios adicionales en el proceso. Además, si el visitante cierra el navegador y ve el popunder, cualquier actividad de movimiento se detendrá.
En total, Malwarebytes encontró 50 blogs comprometidos con fuser-master. Uno de los sitios tuvo unos 4 millones de visitas solo en enero, dijeron además los investigadores, y agregaron que la duración promedio de la visita en este período fue de casi 25 minutos.
Los autores de Fuser-master hicieron todo lo posible para ocultar sus identidades. No solo el complemento está tratando de ocultarse, sino que fue imposible encontrar referencias para el complemento, el nombre del autor o un sitio de descarga, en cualquier lugar. Lo único que los investigadores de Malwarebytes lograron encontrar es una mención de un detector de temas de WordPress en themesinfo.com.
A primera vista, la mayoría de los blogs parecen legítimos. Sin embargo, cuando un usuario ingresa la URL específica y otros parámetros, el sitio se convierte en un centro de fraude publicitario.