La seguridad de WordPress en jaque, miles de webs infectadas

Nuclear Exploit Kit es un cl√°sico de los paquetes de exploits destinados a piratear servidores. Ahora WordPress est√° bajo su asedio, con miles de webs comprometidas.

Miles de webs que usan el gestor de contenido WordPress han sido atacadas. El objeto de estos ataques no era otro que infectar a los visitantes con potentes exploits de malware, seg√ļn se supo ayer jueves a trav√©s de un art√≠culo publicado por Sucuri, una empresa especializada en seguridad.

La campa√Īa empez√≥ hace tan s√≥lo quince d√≠as, pero durante las √ļltimas 48 horas el n√ļmero de sitios comprometidos ha subido de forma espectacular, pasando de 1.000 el martes a casi 6.000 ayer jueves. Las p√°ginas web secuestradas se usan para redirigir a los visitantes a un servidor que introduc√≠a el c√≥digo de ataque en el ordenador visitante.

Este código de ataque se encuentra actualmente dentro del Nuclear Exploit Kit, que se puede comprar en el mercado negro. El servidor que inyecta el malware prueba, además, distintos exploitsdependiendo del sistema operativo y de las aplicaciones que use el visitante.

Nuclear Exploit Kit, un viejo conocido

Nuclear Explot Kit es uno de los packs de exploits m√°s usados. Lleva en activo desde 2009 y ha estado evolucionando constantemente. Es muy apreciado por los hackers por el amplio espectro de ataques que puede realizar, y que se aprovecha de las debilidades de distintos plugins web como Flash, Silverlight o lectores integrados de PDF en los navegadores ‚ÄĒadem√°s de esto cuenta con un exploit exclusivo para Internet Explorer‚ÄĒ.

Todos los exploits vienen escritos en código de programación que se puede modificar
Todos los exploits vienen escritos en código de programación que se puede modificar

El uso principal que se le da a Nuclear Exploit Kit es la inyecci√≥n de malware ¬†y ransomware. Elransomware es, a grandes rasgos, un tipo de virus que ‚Äúsecuestra‚ÄĚ el ordenador infectado con un aviso falso de una autoridad policial. En dicho aviso se informa a la v√≠ctima de que se ha detectado que su direcci√≥n IP p√ļblica ha participado en actos il√≠citos en Internet, y que debe pagar una cantidad X de dinero para recuperar sus datos. Lo anterior es s√≥lo un resumen general de c√≥mo act√ļa este tipo de malware. Hay distintos tipos de ransomware, cada uno con funciones espec√≠ficas y y con diferencias en forma de operar.

Volviendo a los packs de exploits en general y a Nuclear Exploit Kit en particular, el hecho de que los exploits se agrupen en paquetes les otorga una naturaleza polim√≥rfica dif√≠cil de detectar: Un paquete puede adoptar cualquier forma, lo que hace complicado descubrirlos a simple vista. Por esta raz√≥n los packs de exploits se usan fundamentalmente en ataques de d√≠a cero ‚ÄĒataques que se aprovechan de vulnerabilidades sin corregir en un sistema‚ÄĒ, y se han convertido en una herramienta principal en las operaciones de exfiltraci√≥n de datos.

Los ataques redirigen a servidores infectados
Los ataques redirigen a servidores infectados

Nuclear Exploit Kit es un viejo conocido de los especialistas en seguridad, y su efecto a lo largo de los a√Īos se ha dejado sentir en el n√ļmero de industrias afectadas y en el volumen de webs comprometidas. Sectores econ√≥micos importantes se han visto sometidos a brechas de datos importantes: Servicios financieros, negocios privados, medios y servicios de comunicaci√≥n y departamentos gubernamentales.

El objetivo: obtención de datos de usuarios finales

Daniel Cid, CTO de Sucuri, comentaba lo siguiente en el blog de la empresa:

Si lo piensas detenidamente, las p√°ginas web comprometidas s√≥lo son medios para que los criminales lleguen a tantos endpoints como puedan. ¬ŅCu√°l es la mejor manera de llegar a un endpoint [en Internet]? A trav√©s de las webs, por supuesto.

El objetivo son los usuarios finales
El objetivo son los usuarios finales

En este caso particular, el endpoint o ‚Äúpunto final‚ÄĚ ser√≠an los ordenadores de usuarios finales. El objetivo de estos ataques pasar√≠a, en su mayor√≠a, por obtener datos de usuarios a trav√©s de infecciones producidas en p√°ginas web comprometidas que el usuario podr√≠a visitar intencionadamente o de forma casual.

El jueves Sucuri detect√≥ miles de webs compromeitdas, de las cuales un 95% utilizaban el gestor de contenidos WordPress. Los investigadores de la empresa a√ļn no han determinado c√≥mo se hackearon los sitios web, pero sospechan que tiene que ver con los plugins que utiliza este gestor de contenidos. De momento el 17% de todas estas webs ya han sido bloqueadas por un servicio de Google que se encarga de advertir a los usuarios que est√°n visitando p√°gina conmalware.

En Sucuri han llamado a esta campa√Īa VisitorTracker, y por ahora parece que se va a tardar una buena temporada en contenerla.

Fuente:http://www.malavida.com/