Recientemente, un evento alarmante ha sacudido a la comunidad de WordPress: un plugin malicioso ha expuesto datos confidenciales de innumerables sitios web.
Investigadores de seguridad han identificado un plugin fraudulento diseñado para WordPress que tiene la capacidad de crear usuarios administrativos falsos y, de manera simultánea, inyectar código JavaScript malicioso para llevar a cabo la extracción de información de tarjetas de crédito. Esta actividad de exploración forma parte de una campaña de Magecart que está dirigida específicamente a sitios web de comercio electrónico.
Te podrá interesar leer: Magecart Usa Errores 404 en Nuevo Ciberataque
El investigador en seguridad, Ben Martin, mencionó que, al igual que otros plugins maliciosos o fraudulentos para WordPress, este también incluye información engañosa al comienzo del archivo para dar la apariencia de ser legítimo. En este caso, los comentarios en el código indican que se trata de "Complementos de caché de WordPress".
Estos plugins maliciosos suelen ingresar a los sitios de WordPress mediante un usuario administrador comprometido o mediante la explotación de vulnerabilidades en otros plugins ya instalados en el sitio. Una vez que se instala, este plugin se replica en el directorio "mu-plugins" (complementos de uso obligatorio), lo que hace que se habilite automáticamente y que su presencia quede oculta en el panel de administración.
Ben Martin explicó que dado que la única forma de eliminar cualquiera de estos plugins "mu" es eliminando manualmente el archivo, el malware se esfuerza al máximo para evitar ser detectado. Logra esto anulando los registros de las funciones de devolución de llamadas para los ganchos que normalmente utilizan plugins de este tipo. Además, este plugin fraudulento ofrece la opción de crear y ocultar una cuenta de usuario administrador en el sitio web, lo que evita generar alertas y brinda un acceso sostenido al objetivo durante largos períodos de tiempo.
También te podrá interesar: 50K de Sitios WordPress en Riesgo por Fallo en Plugin de Backup
El objetivo final de esta campaña es insertar malware en las páginas de pago para robar información de tarjetas de crédito y enviarla a un dominio controlado por el atacante.
Ben Martin también señaló que muchas infecciones en WordPress son el resultado de usuarios administradores comprometidos en "wp-admin", lo que hace lógico que los atacantes necesiten trabajar dentro de las restricciones de los niveles de acceso existentes. La instalación de plugins es una de las habilidades clave de los administradores de WordPress.
Esta revelación se produce poco tiempo después de que la comunidad de seguridad de WordPress advirtiera sobre una campaña de phishing que engañaba a los usuarios al alertarlos sobre una supuesta vulnerabilidad en el sistema de gestión de contenidos web y los convencía de instalar un plugin falso bajo la apariencia de un parche de seguridad. Este plugin, por su parte, creaba un usuario administrador y permitía el acceso remoto persistente mediante un shell web.
Los actores de amenazas detrás de esta campaña están aprovechando el estado "RESERVADO" asociado con un identificador CVE, lo que sucede cuando se reserva para su uso por una Autoridad de Numeración CVE (CNA) o un investigador de seguridad, pero aún no se han revelado los detalles completos.
La empresa de seguridad de sitios web también descubrió otra campaña de Magecart que utiliza el protocolo de comunicaciones WebSocket para insertar el código de skimming en tiendas en línea. El malware se activa cuando se hace clic en un botón falso de "Completar pedido" que se superpone al botón de pago legítimo.
Te podrá interesar leer: Skimming: ¿Cómo Proteger tus Tarjetas y Evitar Fraudes?
En un informe destacado sobre fraude en línea publicado recientemente, Europol describió el robo digital como una amenaza persistente que resulta en la sustracción, reventa y uso indebido de datos de tarjetas de crédito. Se señaló que una evolución importante en el skimming digital es el uso de malware de backend, lo que lo hace más difícil de detectar.
La agencia policial de la Unión Europea también notificó a 443 comerciantes en línea que los datos de tarjetas de crédito o de pago de sus clientes habían sido comprometidos mediante ataques de skimming.
En una operación transfronteriza de lucha contra el cibercrimen, conocida como "Digital Skimming Action" y en colaboración con Europol, Group-IB detectó e identificó 23 familias de rastreadores de JavaScript, incluyendo ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter y R3nin, que se utilizaron contra empresas en 17 países de Europa y América. Según Group-IB, hasta finales de 2023 se sabía que 132 familias de rastreadores JavaScript habían comprometido sitios web en todo el mundo.
Por último, se ha revelado que se están promocionando anuncios falsos en la Búsqueda de Google y Twitter para plataformas de criptomonedas, anunciando un drenador de criptomonedas llamado MS Drainer. Se estima que este drenador ha saqueado 58.98 millones de dólares de 63,210 víctimas desde marzo de 2023, a través de una red de 10,072 sitios web de phishing.
Podrá interesarte: Ataque de Phishing a Kinsta y Anuncios Falsos en Google
Investigar el Origen: Antes de instalar un plugin, investiga su origen. Verifica las reseñas, la reputación del desarrollador y la frecuencia de las actualizaciones.
Mantener los Plugins Actualizados: Las actualizaciones suelen incluir parches de seguridad. Mantener los plugins actualizados es crucial para proteger tu sitio.
Limitar la Cantidad de Plugins: Cuantos más plugins instales, mayor será el riesgo. Utiliza solo los esenciales para tu sitio.
Realizar Copias de Seguridad Regulares: En caso de una brecha de seguridad, tener una copia de seguridad reciente puede ser invaluable.
Usar Soluciones de Seguridad: Instala soluciones de seguridad específicas para WordPress para proteger tu sitio de amenazas conocidas y emergentes.
El incidente del plugin malicioso de WordPress sirve como un recordatorio de los riesgos asociados con la dependencia de software de terceros. La seguridad de un sitio web no debe tomarse a la ligera, y los administradores deben adoptar un enfoque proactivo para proteger sus sitios y la información de sus usuarios.
Este evento no solo resalta la importancia de la seguridad en WordPress, sino también la necesidad de una vigilancia constante en el ámbito digital. Proteger nuestros sitios web es una tarea continua y esencial en este mundo interconectado.