Miles de WordPress (se abre en una pestaña nueva) Los sitios web estaban infectados con una variante de malware desconocida, según descubrieron investigadores de seguridad cibernética de Sucuri.
El malware redirigiría a los visitantes a un sitio web diferente, donde se cargarían los anuncios alojados en la plataforma Google Ads, lo que generaría ganancias para los propietarios del sitio web.
El equipo de Sucuri encontró que un actor de amenazas desconocido logró comprometer casi 11,000 sitios web con tecnología de WordPress.
Redirigido
WordPress es la plataforma de alojamiento web más popular del mundo y, en general, se percibe como segura. Sin embargo, también ofrece innumerables complementos de WordPress, algunos de los cuales tienen vulnerabilidades de alta gravedad.
Si bien los investigadores no pudieron identificar la vulnerabilidad exacta utilizada para entregar este malware, especulan que los actores de amenazas automatizaron el proceso y probablemente aprovecharon cualquier falla conocida y sin parches que pudieran encontrar.
El modus operandi del malware es simple: cuando las personas visitan los sitios web infectados, son redirigidos a un sitio web de preguntas y respuestas diferente que carga anuncios ubicados en Google Ads. De esa manera, Google esencialmente sería engañado para pagar a los propietarios de la campaña publicitaria por las vistas, sin saber que las vistas son en realidad fraudulentas.
Sucuri ha estado rastreando campañas similares durante meses. A fines de noviembre del año pasado, los investigadores detectaron una campaña similar que infectó aproximadamente 15,000 sitios de WordPress. La diferencia entre estas dos campañas es que en la del año pasado, los atacantes no se molestaron en ocultar el malware. De hecho, hicieron exactamente lo contrario, instalaron más de 100 archivos maliciosos por sitio web,
En la nueva campaña, sin embargo, los atacantes hicieron todo lo posible para tratar de ocultar la existencia del malware, dijeron los investigadores. También hicieron que el malware fuera algo más resistente a las contramedidas, permaneciendo persistente en los sitios durante períodos de tiempo más prolongados.
Para protegerse contra tales ataques, dijeron los investigadores, es mejor mantener el sitio web y todos los complementos actualizados, y mantener el panel de administración de wp seguro con una contraseña segura y autenticación de múltiples factores. Aquellos que ya han sido infectados pueden seguir la guía práctica de Sucuri, deben cambiar todas las contraseñas de los puntos de acceso y colocar el sitio web detrás de un firewall.