{"id":461899,"date":"2023-02-14T18:49:00","date_gmt":"2023-02-14T18:49:00","guid":{"rendered":"https:\/\/magazineoffice.com\/11000-sitios-han-sido-infectados-con-malware-que-es-bueno-para-evitar-la-deteccion\/"},"modified":"2023-02-14T18:49:02","modified_gmt":"2023-02-14T18:49:02","slug":"11000-sitios-han-sido-infectados-con-malware-que-es-bueno-para-evitar-la-deteccion","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/11000-sitios-han-sido-infectados-con-malware-que-es-bueno-para-evitar-la-deteccion\/","title":{"rendered":"~11,000 sitios han sido infectados con malware que es bueno para evitar la detecci\u00f3n"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\"\/>  <\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 3:single\/related:df20d26d621b983108739b8843d9a00d --><!-- empty --><\/p>\n<p>Casi 11.000 sitios web en los \u00faltimos meses han sido infectados con una puerta trasera que redirige a los visitantes a sitios que acumulan vistas fraudulentas de anuncios proporcionados por Google Adsense, dijeron los investigadores.<\/p>\n<p>Los 10.890 sitios infectados, encontrados por la firma de seguridad Sucuri, ejecutan el sistema de administraci\u00f3n de contenido de WordPress y tienen un script PHP ofuscado que se inyect\u00f3 en archivos leg\u00edtimos que alimentan los sitios web.  Dichos archivos incluyen \u00abindex.php\u00bb, \u00abwp-signup.php\u00bb, \u00abwp-activate.php\u00bb, \u00abwp-cron.php\u00bb y muchos m\u00e1s.  Algunos sitios infectados tambi\u00e9n inyectan c\u00f3digo ofuscado en wp-blog-header.php y otros archivos.  El c\u00f3digo adicional inyectado funciona como una puerta trasera dise\u00f1ada para garantizar que el malware sobreviva a los intentos de desinfecci\u00f3n al cargarse en archivos que se ejecutan cada vez que se reinicia el servidor de destino.<\/p>\n<p>\u201cEstas puertas traseras descargan shells adicionales y un script de correo PHP Leaf desde una pila de archivos de dominio remoto[.]live y col\u00f3quelos en archivos con nombres aleatorios en los directorios wp-includes, wp-admin y wp-content\u201d, escribi\u00f3 el investigador de Sucuri, Ben Martin.  \u201cDado que la inyecci\u00f3n de malware adicional se encuentra dentro del archivo wp-blog-header.php, se ejecutar\u00e1 cada vez que se cargue el sitio web y lo reinfectar\u00e1.  Esto garantiza que el entorno permanezca infectado hasta que se eliminen todos los rastros del malware\u201d.<\/p>\n<h2>Astuto y decidido<\/h2>\n<p>El malware se esfuerza por ocultar su presencia a los operadores.  Cuando un visitante inicia sesi\u00f3n como administrador o ha visitado un sitio infectado en las \u00faltimas dos o seis horas, las redirecciones se suspenden.  Como se se\u00f1al\u00f3 anteriormente, el c\u00f3digo malicioso tambi\u00e9n est\u00e1 ofuscado, utilizando la codificaci\u00f3n Base64.<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/obfuscated-malware-640x207.png\" width=\"640\" height=\"207\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/obfuscated-malware.png 2x\"\/><figcaption class=\"caption\"\/><\/figure>\n<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<p>Una vez que el c\u00f3digo se convierte a texto sin formato, aparece de esta manera:<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" alt=\"El mismo c\u00f3digo cuando se decodifica.\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/deobfuscated-malware-640x271.png\" width=\"640\" height=\"271\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/deobfuscated-malware.png 2x\"\/><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> El mismo c\u00f3digo cuando se decodifica.<\/div>\n<p>Sucuri<\/p>\n<\/figcaption><\/figure>\n<p>De manera similar, el c\u00f3digo de puerta trasera que hace que el sitio se vuelva a infectar se ve as\u00ed cuando est\u00e1 ofuscado:<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" alt=\"C\u00f3digo PHP de puerta trasera cuando est\u00e1 codificado con base64.\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/obfuscated-backdoor-640x343.png\" width=\"640\" height=\"343\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/obfuscated-backdoor.png 2x\"\/><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> C\u00f3digo PHP de puerta trasera cuando est\u00e1 codificado con base64.<\/div>\n<\/figcaption><\/figure>\n<p>Cuando se decodifica, se ve as\u00ed:<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" alt=\"La puerta trasera de PHP cuando se decodifica.\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/decoded-backdoor-640x290.png\" width=\"640\" height=\"290\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/decoded-backdoor.png 2x\"\/><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> La puerta trasera de PHP cuando se decodifica.<\/div>\n<p>Sucuri<\/p>\n<\/figcaption><\/figure>\n<p>La infecci\u00f3n masiva del sitio web ha estado en curso desde al menos septiembre.  En una publicaci\u00f3n publicada en noviembre que alert\u00f3 por primera vez a la gente sobre la campa\u00f1a, Martin advirti\u00f3:<\/p>\n<p>\u201cEn este punto, no hemos notado un comportamiento malicioso en estas p\u00e1ginas de destino.  Sin embargo, en cualquier momento dado, los operadores del sitio pueden agregar arbitrariamente malware o comenzar a redirigir el tr\u00e1fico a otros sitios web de terceros\u201d.<\/p>\n<p>Por ahora, el objetivo completo de la campa\u00f1a parece ser generar tr\u00e1fico de aspecto org\u00e1nico a sitios web que contienen anuncios de Google Adsense.  Las cuentas de Adsense que participan en la estafa incluyen:<\/p>\n<table>\n<tbody>\n<tr>\n<td>es[.]rawafedpor[.]com<\/td>\n<td>ca-pub-8594790428066018<\/td>\n<\/tr>\n<tr>\n<td>m\u00e1s[.]cr-halal[.]com<\/td>\n<td>ca-pub-3135644639015474<\/td>\n<\/tr>\n<tr>\n<td>equivalente[.]Yomeat[.]com<\/td>\n<td>ca-pub-4083281510971702<\/td>\n<\/tr>\n<tr>\n<td>noticias[.]istisharaat[.]com<\/td>\n<td>ca-pub-6439952037681188<\/td>\n<\/tr>\n<tr>\n<td>es[.]primer gol[.]com<\/td>\n<td>ca-pub-5119020707824427<\/td>\n<\/tr>\n<tr>\n<td>solo[.]aly2um[.]com<\/td>\n<td>ca-pub-8128055623790566<\/td>\n<\/tr>\n<tr>\n<td>btc[.]\u00faltimos art\u00edculos[.]com<\/td>\n<td>ca-pub-4205231472305856<\/td>\n<\/tr>\n<tr>\n<td>preguntar[.]elbwaba[.]com<\/td>\n<td>ca-pub-1124263613222640<br \/>ca-pub-1440562457773158<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Para hacer que las visitas evadan la detecci\u00f3n de las herramientas de seguridad de la red y parezcan org\u00e1nicas, es decir, que provengan de personas reales que ven las p\u00e1ginas voluntariamente, las redirecciones se producen a trav\u00e9s de b\u00fasquedas de Google y Bing:<\/p>\n<figure class=\"image shortcode-img center large\" style=\"width:100%\"><img loading=\"lazy\" decoding=\"async\" alt=\"Fuente de la p\u00e1gina que muestra que la redirecci\u00f3n se est\u00e1 produciendo a trav\u00e9s de la b\u00fasqueda de Google.\" src=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/google-search-redirect-640x336.png\" width=\"640\" height=\"336\" srcset=\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2023\/02\/google-search-redirect.png 2x\"\/><figcaption class=\"caption\">\n<div class=\"caption-text\">Agrandar <span class=\"sep\">\/<\/span> Fuente de la p\u00e1gina que muestra que la redirecci\u00f3n se est\u00e1 produciendo a trav\u00e9s de la b\u00fasqueda de Google.<\/div>\n<p>Sucuri<\/p>\n<\/figcaption><\/figure>\n<p>Los destinos finales son en su mayor\u00eda sitios de preguntas y respuestas que discuten Bitcoin u otras criptomonedas.  Una vez que un navegador redirigido visita uno de los sitios, los delincuentes han tenido \u00e9xito.  Mart\u00edn explic\u00f3:<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<blockquote>\n<p>Esencialmente, los propietarios de sitios web colocan anuncios aprobados por Google en sus sitios web y se les paga por la cantidad de visitas y clics que obtienen.  No importa de d\u00f3nde provengan esas vistas o clics, siempre y cuando les d\u00e9 la impresi\u00f3n a aquellos que pagan para que se vean sus anuncios de que, de hecho, se los est\u00e1 viendo.<\/p>\n<p>Por supuesto, la naturaleza de baja calidad de los sitios web asociados con esta infecci\u00f3n generar\u00eda b\u00e1sicamente cero tr\u00e1fico org\u00e1nico, por lo que la \u00fanica forma en que pueden bombear tr\u00e1fico es a trav\u00e9s de medios maliciosos.<\/p>\n<p>En otras palabras: los redireccionamientos no deseados a trav\u00e9s de URL cortas falsas a sitios de preguntas y respuestas falsos dan como resultado vistas\/clics de anuncios inflados y, por lo tanto, ingresos inflados para quien est\u00e1 detr\u00e1s de esta campa\u00f1a.  Es una campa\u00f1a muy grande y continua de fraude organizado de ingresos por publicidad.<\/p>\n<p>De acuerdo con la documentaci\u00f3n de Google AdSense, este comportamiento no es aceptable y los editores no deben colocar anuncios publicados por Google en p\u00e1ginas que violen las pol\u00edticas de spam para la b\u00fasqueda web de Google.<\/p>\n<\/blockquote>\n<p>Los representantes de Google no respondieron a un correo electr\u00f3nico preguntando si la compa\u00f1\u00eda tiene planes de eliminar las cuentas de Adsense que identific\u00f3 Martin o encontrar otros medios para tomar medidas en\u00e9rgicas contra la estafa.<\/p>\n<p>No est\u00e1 claro c\u00f3mo se infectan los sitios en primer lugar.  En general, el m\u00e9todo m\u00e1s com\u00fan para infectar sitios de WordPress es explotar complementos vulnerables que se ejecutan en un sitio.  Martin dijo que Sucuri no ha identificado ning\u00fan complemento con errores que se ejecute en los sitios infectados, pero tambi\u00e9n se\u00f1al\u00f3 que existen kits de explotaci\u00f3n que agilizan la capacidad de encontrar varias vulnerabilidades que pueden existir en un sitio.<\/p>\n<p>Las publicaciones de Sucuri brindan pasos que los administradores de sitios web pueden seguir para detectar y eliminar infecciones.  Los usuarios finales que se encuentren redirigidos a uno de estos sitios fraudulentos deben cerrar la pesta\u00f1a y no hacer clic en ninguno de los contenidos.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Casi 11.000 sitios web en los \u00faltimos meses han sido infectados con una puerta trasera que redirige a los visitantes a sitios que acumulan vistas fraudulentas de anuncios proporcionados por&hellip;<\/p>\n","protected":false},"author":1,"featured_media":461900,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[4009,133,12856,5463,1679,20050,848,107,1881,1228],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/461899"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=461899"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/461899\/revisions"}],"predecessor-version":[{"id":461901,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/461899\/revisions\/461901"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/461900"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=461899"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=461899"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=461899"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}