La seguridad de WordPress en jaque, miles de webs infectadas

Share this…

Nuclear Exploit Kit es un clásico de los paquetes de exploits destinados a piratear servidores. Ahora WordPress está bajo su asedio, con miles de webs comprometidas.

Miles de webs que usan el gestor de contenido WordPress han sido atacadas. El objeto de estos ataques no era otro que infectar a los visitantes con potentes exploits de malware, según se supo ayer jueves a través de un artículo publicado por Sucuri, una empresa especializada en seguridad.

La campaña empezó hace tan sólo quince días, pero durante las últimas 48 horas el número de sitios comprometidos ha subido de forma espectacular, pasando de 1.000 el martes a casi 6.000 ayer jueves. Las páginas web secuestradas se usan para redirigir a los visitantes a un servidor que introducía el código de ataque en el ordenador visitante.

Este código de ataque se encuentra actualmente dentro del Nuclear Exploit Kit, que se puede comprar en el mercado negro. El servidor que inyecta el malware prueba, además, distintos exploitsdependiendo del sistema operativo y de las aplicaciones que use el visitante.

Nuclear Exploit Kit, un viejo conocido

Nuclear Explot Kit es uno de los packs de exploits más usados. Lleva en activo desde 2009 y ha estado evolucionando constantemente. Es muy apreciado por los hackers por el amplio espectro de ataques que puede realizar, y que se aprovecha de las debilidades de distintos plugins web como Flash, Silverlight o lectores integrados de PDF en los navegadores —además de esto cuenta con un exploit exclusivo para Internet Explorer—.

Todos los exploits vienen escritos en código de programación que se puede modificar
Todos los exploits vienen escritos en código de programación que se puede modificar

El uso principal que se le da a Nuclear Exploit Kit es la inyección de malware  y ransomware. Elransomware es, a grandes rasgos, un tipo de virus que “secuestra” el ordenador infectado con un aviso falso de una autoridad policial. En dicho aviso se informa a la víctima de que se ha detectado que su dirección IP pública ha participado en actos ilícitos en Internet, y que debe pagar una cantidad X de dinero para recuperar sus datos. Lo anterior es sólo un resumen general de cómo actúa este tipo de malware. Hay distintos tipos de ransomware, cada uno con funciones específicas y y con diferencias en forma de operar.

Volviendo a los packs de exploits en general y a Nuclear Exploit Kit en particular, el hecho de que los exploits se agrupen en paquetes les otorga una naturaleza polimórfica difícil de detectar: Un paquete puede adoptar cualquier forma, lo que hace complicado descubrirlos a simple vista. Por esta razón los packs de exploits se usan fundamentalmente en ataques de día cero —ataques que se aprovechan de vulnerabilidades sin corregir en un sistema—, y se han convertido en una herramienta principal en las operaciones de exfiltración de datos.

Los ataques redirigen a servidores infectados
Los ataques redirigen a servidores infectados

Nuclear Exploit Kit es un viejo conocido de los especialistas en seguridad, y su efecto a lo largo de los años se ha dejado sentir en el número de industrias afectadas y en el volumen de webs comprometidas. Sectores económicos importantes se han visto sometidos a brechas de datos importantes: Servicios financieros, negocios privados, medios y servicios de comunicación y departamentos gubernamentales.

El objetivo: obtención de datos de usuarios finales

Daniel Cid, CTO de Sucuri, comentaba lo siguiente en el blog de la empresa:

Si lo piensas detenidamente, las páginas web comprometidas sólo son medios para que los criminales lleguen a tantos endpoints como puedan. ¿Cuál es la mejor manera de llegar a un endpoint [en Internet]? A través de las webs, por supuesto.

El objetivo son los usuarios finales
El objetivo son los usuarios finales

En este caso particular, el endpoint o “punto final” serían los ordenadores de usuarios finales. El objetivo de estos ataques pasaría, en su mayoría, por obtener datos de usuarios a través de infecciones producidas en páginas web comprometidas que el usuario podría visitar intencionadamente o de forma casual.

El jueves Sucuri detectó miles de webs compromeitdas, de las cuales un 95% utilizaban el gestor de contenidos WordPress. Los investigadores de la empresa aún no han determinado cómo se hackearon los sitios web, pero sospechan que tiene que ver con los plugins que utiliza este gestor de contenidos. De momento el 17% de todas estas webs ya han sido bloqueadas por un servicio de Google que se encarga de advertir a los usuarios que están visitando página conmalware.

En Sucuri han llamado a esta campaña VisitorTracker, y por ahora parece que se va a tardar una buena temporada en contenerla.

Fuente:https://www.malavida.com/