Se trata de una práctica bastante habitual, sobre todo ahora que la optimización para los buscadores resulta tan relevante. Son muchos los complementos existentes, aunque muchos de ellos son de pago. Por este motivo, los usuarios tienden a decantarse por las soluciones gratuitas, algo que no siempre es una buena idea. Sobre todo, si hablamos de WordPress.
Este CMS ha sido uno de los servicios que ha permitido crear páginas web en muy poco tiempo, sin escatimar en detalles. A la hora de utilizar complementos es uno de los mejores donde más alternativas existen. Es decir, cuota de mercado añadido a muchos complementos y con finalidad muy diferente conforman el escenario ideal para que los ciberdelincuentes puedan llevar a cabo un ataque. En este caso, softwares falsos con la única finalidad de distribuir malware entre los usuarios.
Incluso muchas plantillas de pago son objetivo de los ciberdelincuentes: las modifican introduciendo el código deseado, que en muchos casos realiza la descarga de virus informáticos.
¿Cómo se lleva a cabo la distribución de esta “amenaza” en los sitios WordPress?
Podría decirse que todo tiene como origen la página web https://downloadfreethemes.download. donde podemos encontrar más de 32.000 temas que se han sido hackeados y puestos a disposición del usuario, pero en esta ocasión de forma gratuita.
Sin ir más lejos, el propietario de esta primera página también lo es de otras, como las siguientes:
- 24x7themes.top
- Dlword.press
- Freenulled.top
- Freethemes.space
- Null5.topThemesdad.com
- Wpmania.download
La única diferencia es la apariencia del sitio web. Cualquier estrategia es buena en lo que se refiere a SEO si quieres que tu página con contenido malware sea de las primeras en aparecer en la búsqueda. Cuanto mejor sea el posicionamiento mayor será el número de usuarios infectados.
Instalación del tema infectado con código malware
Después de echar un pequeño vistazo a lo que se puede considerar el “modus operandi” de los ciberdelincuentes, llega el momento de saber qué es lo que sucede al hacer uso de este tema.
Expertos en seguridad han determinado que en muchos temas se ha añadido un código cifrado, accesible desde cualquier módulo. Este permite la descarga de un código adicional que se almacena en la ubicación wp-includes/wptmp.php. Este código se carga utilizando las funciones del fichero functions.php. Una vez cargado, el código de la carpeta temporal desaparece.
Expertos en seguridad han analizado este código, visualizando que, a priori, se utiliza para realizar la carga no autorizada de anuncios en el sitio web en el que se está utilizando el tema modificado.
Desde GData han tratado de tirar del hilo aún más. Finalmente han encontrado unas páginas PHP que a priori pertenecen a una tienda de zapatos. Para ser más precisos, se trata de un formulario para introducir los datos relacionados con el pago utilizando una tarjeta de crédito. Sin embargo, esto no es así. Todo apunta a que nos encontramos ante un formulario genérico utilizado por los ciberdelincuentes para llevar a cabo la recopilación de los datos de los usuarios.
Se trata de una práctica cada vez más común. Después de ver esto, seguramente te lo pienses un poco más antes de descargar un tema gratuito que en tiendas oficiales de WordPress es de pago.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad