Más de 6,000 sitios de WordPress hackeados. Suena alarmante, ¿verdad? Lo peor es que muchos propietarios ni siquiera se dieron cuenta de que su sitio web estaba siendo usado para robar información de sus propios visitantes. Todo gracias a unos plugins maliciosos que se instalaron como si nada. Sí, plugins, esas herramientas que usamos todos los días para mejorar nuestros sitios. Si tienes un sitio en WordPress, este es el tipo de cosas que no querrás ignorar, porque lo que le pasó a esos 6,000 sitios podría pasarte a ti también.
Los sitios de WordPress están siendo atacados para instalar complementos maliciosos que muestran falsos mensajes de actualización y errores, todo con el objetivo de distribuir malware que roba información.
En los últimos años, este tipo de malware, conocido como "infostealer", se ha convertido en un verdadero dolor de cabeza para los expertos en seguridad. Las credenciales robadas con este método se utilizan para infiltrarse en redes y robar datos importantes.
Desde 2023, ha estado en circulación una campaña maliciosa llamada ClearFake, que muestra banners falsos de actualización del navegador en sitios web hackeados. Estos banners descargan malware que roba información directamente en los dispositivos de los usuarios.
Y en 2024, apareció una nueva campaña llamada ClickFix, muy parecida a ClearFake, pero con un giro. En lugar de actualizaciones del navegador, ClickFix muestra mensajes de error de software y ofrece una "solución". Pero, en lugar de arreglar algo, esas soluciones son scripts de PowerShell que instalan malware para robar información.
Ejemplo de ClickFix que simula un error de Chrome
Las campañas de ClickFix se han vuelto cada vez más comunes este año. Los hackers están comprometiendo sitios para mostrar banners falsos que simulan errores en cosas como Google Chrome, Google Meet, Facebook, e incluso en páginas de verificación de captcha. Estos mensajes parecen legítimos, pero son trampas para engañar a los usuarios y hacerles descargar malware.
Podría interesarte leer: Malware Disfrazado de Errores de Google Meet: Invitaciones Falsas
La semana pasada, GoDaddy reportó que los hackers detrás de las campañas ClearFake y ClickFix han logrado comprometer más de 6,000 sitios de WordPress, instalando complementos maliciosos que muestran alertas falsas relacionadas con estas estafas.
Según Denis Sinegubko, investigador de seguridad de GoDaddy: "Nuestro equipo está rastreando una nueva variante del malware ClickFix (también conocido como ClearFake), que se está distribuyendo a través de complementos falsos en WordPress. Estos complementos parecen completamente inofensivos para los administradores de sitios, pero en realidad contienen scripts maliciosos que envían alertas falsas de actualización del navegador a los usuarios".
Lo preocupante es que estos complementos maliciosos usan nombres muy similares a complementos legítimos como Wordfence Security y LiteSpeed Cache, lo que hace que pasen desapercibidos. Otros usan nombres genéricos o inventados para confundir aún más.
Aquí está la lista de complementos maliciosos detectados entre junio y septiembre de 2024:
También se ha detectado un complemento falso llamado "Universal Popup Plugin" que forma parte de esta campaña de malware. Una vez instalado, este complemento se engancha a varias acciones de WordPress y agrega un script malicioso de JavaScript en el HTML del sitio.
Cuando el script se ejecuta, intenta cargar otro archivo JavaScript que está almacenado en un contrato inteligente en Binance Smart Chain (BSC). Este segundo script es el que lanza las campañas ClearFake o ClickFix, mostrando esos molestos banners falsos de actualización o errores.
Banner de actualización falso de Google
Según los registros del servidor analizados por Sinegubko, parece que los hackers están usando credenciales de administrador robadas para acceder a los sitios de WordPress e instalar estos complementos maliciosos de manera automática.
Aún no está del todo claro cómo logran obtener esas credenciales, pero podría ser a través de ataques de fuerza bruta, correos de phishing o incluso malware que roba información.
Si tienes un sitio en WordPress y te llegan reportes de alertas falsas que ven tus visitantes, lo primero que deberías hacer es revisar la lista de complementos instalados. Elimina de inmediato cualquier plugin que no hayas instalado tú mismo. Además, si encuentras complementos sospechosos, es crucial que restablezcas las contraseñas de todos los usuarios administradores. Asegúrate de que las nuevas contraseñas sean únicas y usadas solo en ese sitio.