Utilizan sitios web de WordPress para redirigir a usuarios a páginas con malware

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Ni siquiera durante la época estival los usuarios pueden navegar de forma tranquila. Expertos en seguridad han detectado que una cantidad importante de blogs de WordPress se están utilizando para redirigir a los usuarios que los visitan a otras páginas web que están infectadas con una variante del malware CryptoWall.

En concreto existen al menos 2.600 cuentas de este CMS que han sido robadas, provocando que al menos 4.000 sitios web se encuentren afectados por este problema y se utilicen para esta finalidad. Buscando un punto de partida común, los expertos en seguridad se han topado con que todos los sitios web afectados ejecutan la versión 4.2 de WordPress, afectada con total seguridad por algún fallo de seguridad que ha permitido a los ciberdelincuentes tomar el control del sitio web y utilizarlo a su antojo.

Por desgracia para los usuarios, las herramientas de seguridad instaladas en los equipos no detectan este tipo de ataques, algo que también sucede en esta ocasión. Sin embargo, añaden que el sistema de detección de contenido malware de Google sí que muestra en algunas ocasiones que la página podría estar infectada, por lo tanto, a día de hoy es la única ayuda que poseen los usuarios.

Utilizan sitios web de WordPress para redirigir a usuarios a páginas con malware

Utilizan el exploit Neutrino en los blogs de WordPress afectados

El funcionamiento de este tipo de ataques es siempre muy similar: en esta ocasión los ciberdelincuentes se ayudan del exploit Neutrino para ofrecer un contenido Flash que se encuentra en un archivo SWF. Sin embargo, además del contenido inicial de este archivo se encuentra otro archivo del mismo tipo que en esta ocasión es el encargado de distribuir el enlace que provoca la descarga del malware.

Al acceder al contenido de este segundo ejecutable, se produce la descarga de un ejecutable cifrado, por lo tanto, es imposible conocer su contenido. La ejecución se realiza en segundo plano y provoca la llegada al sistema de CryptoWall, un troyano muy conocido por los usuarios y también por las herramientas de seguridad.

Por suerte para los usuarios el fallo inicial en la detección de la amenaza se compensa con el bloqueo de la instalación de este virus por parte de la mayoría de las herramientas de seguridad, tanto gratuitas como de pago.

Internet Explorer, un eslabón que forma parte de la infección

Antes hemos mencionado que todos los blogs afectados tenían en común que ejecutaban la versión 4.2 del popular CMS. Los expertos en seguridad también han concretado que el exploit utilizado solo funciona con el navegador web de Microsoft Internet Explorer.

Los expertos instan a los usuarios a abandonar este navegador web, no solo por este fallo de seguridad sino por la posible aparición de otros muchos que ya no sean solucionados con motivo de la aparición de Microsoft Edge.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone