Estos temas y plugins gratuitos de WordPress podrían contener malware. Evite su instalación

WordPress es, probablemente, el más popular sistema de gestión de contenido (CMS) de la actualidad, por lo que no es extraño que también sea objeto de múltiples amenazas de ciberseguridad. Acorde a expertos en ciberseguridad, la más seria de estas amenazas es una campaña criminal desplegada por un grupo identificado como WP-VCD, de la que derivan la mayoría de los incidentes de hacking contra sitios en WordPress.

Un reporte publicado por la plataforma especializada ZDNet aporta amplios detalles acerca de esta campaña de ataques, abordando un tema con especial interés: el hecho de que estos hackers no explotan vulnerabilidades para infiltrarse en los sitios comprometidos e instalar backdoors, sino que usan versiones piratas de temas y plugins, por lo que sólo deben esperar a que un administrador de sitios web descargue e instale el software infectado.

Los expertos en ciberseguridad detectaron múltiples indicios de actividad de estos hackers en sitios web fraudulentos, que ofrecen versiones pirateadas de plugins y temas de WordPress de paga. Además, todos estos sitios maliciosos cuentan con buenas clasificaciones en los resultados de búsqueda debido a que reciben impulso de palabras clave de todos los sitios de WordPress que ya hayan sido hackeados, reportan los expertos en ciberseguridad, por lo que es realmente fácil que un usuario encuentre este software malicioso.

Los sitios donde se detectó esta actividad maliciosa son:

  • www.download-freethemes.download
  • www.downloadfreethemes.co
  • www.downloadfreethemes.space
  • www.downloadnulled.pw
  • www.downloadnulled.top
  • www.freenulled.top
  • www.nulledzip.download
  • www.themesfreedownload.net
  • www.themesfreedownload.top
  • www.vestathemes.com

Para comprobar este comportamiento, los expertos en ciberseguridad realizaron una búsqueda de Google, ingresando el nombre de algunos populares temas de WordPress junto con la palabra ‘descargar’, descubriendo que la primera página de resultados muestra al menos tres de estos sitios.

Después de que los administradores de sitios web descargan cualquiera de los plugins o temas infectados, pasan sólo unos cuantos segundos para que su sitio de WordPress sea completamente comprometido. La descarga de estos componentes agrega al sitio objetivo un backdoor identificado como ‘100010010’, lo que garantiza que los hackers tienen una forma de acceder a la instalación.

Posteriormente, el malware WP-VCD se agrega a todos los temas usados en el sitio, para evitar que éste desaparezca del sistema debido a una posible desinstalación. Finalmente, si el malware actúa en un entorno de alojamiento compartido, se pude propagar a otros servidores, infectando otros sitios alojados en el mismo sistema. 

Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS), el objetivo principal de estos hackers es usar los sitios hackeados para crear una botnet y, desde un C&C, controlar todas las actividades de estos sitios.