Ni siquiera durante la época estival los usuarios pueden navegar de forma tranquila. Expertos en seguridad han detectado que una cantidad importante de blogs de WordPress se están utilizando para redirigir a los usuarios que los visitan a otras páginas web que están infectadas con una variante del malware CryptoWall.
En concreto existen al menos 2.600 cuentas de este CMS que han sido robadas, provocando que al menos 4.000 sitios web se encuentren afectados por este problema y se utilicen para esta finalidad. Buscando un punto de partida común, los expertos en seguridad se han topado con que todos los sitios web afectados ejecutan la versión 4.2 de WordPress, afectada con total seguridad por algún fallo de seguridad que ha permitido a los ciberdelincuentes tomar el control del sitio web y utilizarlo a su antojo.
Por desgracia para los usuarios, las herramientas de seguridad instaladas en los equipos no detectan este tipo de ataques, algo que también sucede en esta ocasión. Sin embargo, añaden que el sistema de detección de contenido malware de Google sí que muestra en algunas ocasiones que la página podría estar infectada, por lo tanto, a día de hoy es la única ayuda que poseen los usuarios.
Utilizan el exploit Neutrino en los blogs de WordPress afectados
El funcionamiento de este tipo de ataques es siempre muy similar: en esta ocasión los ciberdelincuentes se ayudan del exploit Neutrino para ofrecer un contenido Flash que se encuentra en un archivo SWF. Sin embargo, además del contenido inicial de este archivo se encuentra otro archivo del mismo tipo que en esta ocasión es el encargado de distribuir el enlace que provoca la descarga del malware.
Al acceder al contenido de este segundo ejecutable, se produce la descarga de un ejecutable cifrado, por lo tanto, es imposible conocer su contenido. La ejecución se realiza en segundo plano y provoca la llegada al sistema de CryptoWall, un troyano muy conocido por los usuarios y también por las herramientas de seguridad.
Por suerte para los usuarios el fallo inicial en la detección de la amenaza se compensa con el bloqueo de la instalación de este virus por parte de la mayoría de las herramientas de seguridad, tanto gratuitas como de pago.
Internet Explorer, un eslabón que forma parte de la infección
Antes hemos mencionado que todos los blogs afectados tenían en común que ejecutaban la versión 4.2 del popular CMS. Los expertos en seguridad también han concretado que el exploit utilizado solo funciona con el navegador web de Microsoft Internet Explorer.
Los expertos instan a los usuarios a abandonar este navegador web, no solo por este fallo de seguridad sino por la posible aparición de otros muchos que ya no sean solucionados con motivo de la aparición de Microsoft Edge.
Fuente:https://www.redeszone.net/
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
