Nuevo ataque de Google Fonts en sitios web de WordPress

Un equipo de especialistas en forense digital acaba de reportar el descubrimiento de un falso dominio de Google que podría engañar a cualquier usuario que no preste atención suficiente a sus actividades en línea.

Según el reporte de security boulevard, este dominio malicioso abusaba de is.gd, un servicio de acortador de URL, para inyectar estas direcciones recortadas en la tabla de publicaciones de la base de datos de WordPress del cliente.

Cada vez que se carga la página infectada de WordPress, el contenido real se oculta detrás del acortador is.gd, que a su vez obtiene contenido del falso dominio de Google (en este caso fonts[.]googlesapi[.]com).

Acorde a los expertos en forense digital, la creación de este dominio no es tan reciente como podría pensarse, pues lleva poco más de un año en línea. En cuanto a su apariencia, la URL es muy similar a la autentica de Google empleada en muchos sitios web y podría pasar desapercibida para cualquier administrador.

En realidad este dominio malicioso emplea exactamente los mismos caracteres que la URL legítima de Google Fonts, simplemente cambiando de lugar una ‘s’, lo que lo vuelve indetectable a simple vista.

  • Dominio legítimo: fonts[.]googleapis[.]com
  • Dominio malicioso: fonts[.]googlesapi[.]com

Otro factor que juega a favor de este dominio malicioso es su aparente bajo uso, pues hasta el momento no se ha incluido en la lista negra de ninguna compañía colaboradora de VirusTotal, plataforma que proporciona información sobre riesgos de seguridad vigentes.

También se detectó que este dominio malicioso estaba tratando de cargar malware de un dominio anterior (wordprssapi[.]com), reportado desde 2017. Esta variante de malware es empleada para el robo de cookies de navegación en sitios web que emplean un programa de marketing en específico.

Los especialistas en forense digital mencionan que, en primera instancia, el código malicioso verifica si el cookie name_utmzz ya existe, usando la propiedad document.cookie.indexOf property. Posteriormente se asegura de que el visitante no sea un robot común, como Googlebot.

Si se pasan las verificaciones, el JavaScript envía las cookies del navegador del visitante al dominio malicioso. También genera una cookie con el nombre que verificó anteriormente, “_utmzz”, que está configurado para caducar en 1 día.

Acorde a los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS), incluso si los dominios falsos encontrados en esta campaña fuesen legítimos, el envío de cookies es siempre una señal de alerta para los propietarios de sitios web, pues estos registros deben ser considerados como información personal que no debe ser compartida.

El uso de dominios falsos con caracteres similares a los del dominio legítimo es una variante de ataque muy común, por lo que se le recomienda a los administradores de sitios web actuar con precaución.