Campaña de malware compromete sitios WordPress a gran escala: Parche urgente

El análisis de la campaña del malware Sign1 revelan una estrategia compleja y meticulosamente orquestada para comprometer sitios web a través de WordPress, explotando la flexibilidad y funcionalidad que ofrecen los plugins legítimos y widgets HTML personalizados. Esta campaña, descubierta por la firma de seguridad web Sucuri, destaca por su ingeniosa explotación de las herramientas diseñadas para enriquecer la experiencia del usuario y la personalización del sitio, como el plugin Simple Custom CSS and JS, transformándolas en vectores de ataque para la distribución de contenido malicioso.

La sofisticación del Sign1 reside en su capacidad para inyectar scripts maliciosos sin alterar los archivos del servidor, utilizando en su lugar widgets HTML personalizados que solo contienen código malicioso y, por tanto, permanecen invisibles en las páginas web visualizadas por los usuarios finales. Esta técnica de infección, que aprovecha los plugins que permiten la inserción de código JavaScript arbitrario entre otros, refleja una comprensión profunda de los atacantes sobre el ecosistema de WordPress y los métodos de seguridad convencionales. Al inyectar el código malicioso a través de estos medios, el malware evade la detección tradicional basada en el análisis de archivos del servidor, ya que es menos común que las medidas de seguridad se extiendan a la revisión exhaustiva de la base de datos del sitio web.

Acerca del malware Sign1

La campaña de Sign1, caracterizada por la generación de URLs dinámicas y el empleo de técnicas de codificación avanzadas, muestra una operación bien coordinada con el objetivo de monetizar el tráfico web malicioso. Los anuncios pop-up inusuales en sitios web comprometidos fueron uno de los primeros indicadores que llevaron a su descubrimiento. Este enfoque no solo permite a los atacantes insertar su carga útil de manera sigilosa, sino que también complica los esfuerzos para erradicar el malware, dada su habilidad para permanecer oculto dentro de componentes legítimos del sitio.

Este análisis destaca la importancia de una vigilancia constante y de prácticas de seguridad rigurosas por parte de los propietarios y desarrolladores de sitios web, especialmente aquellos que utilizan WordPress. La revisión regular de los plugins y widgets, la restricción del código que se puede insertar a través de ellos y el monitoreo continuo para detectar comportamientos inusuales en el sitio son esenciales para mitigar el riesgo de infección por campañas como la de Sign1. La colaboración con firmas de seguridad especializadas y la implementación de soluciones avanzadas de protección web pueden proporcionar una capa adicional de defensa contra estas amenazas cada vez más sofisticadas.

Acciones a tomar

Actualizar Plugins: Es crucial actualizar todos los plugins de WordPress a sus últimas versiones para corregir vulnerabilidades conocidas. La eliminación de plugins innecesarios también puede reducir la superficie de ataque.

Contraseñas Fuertes: Utilizar contraseñas robustas y únicas para todas las cuentas de administrador de WordPress.

Herramientas de Seguridad: Emplear firewalls de aplicaciones web (WAF), escáneres de malware, y soluciones de seguridad específicas de WordPress que pueden detectar y mitigar    ataques automatizados y otras amenazas comunes.

Para detectar y eliminar el malware Sign1, recomendamos utilizar complementos antivirus especiales como Sucuri y MalCare, que pueden escanear todos los archivos de WordPress y eliminar cuidadosamente las inyecciones.

Indicadores de compromiso (IoC)

En la siguiente tabla puede encontrar los nombres de dominio utilizados por diferentes oleadas de infecciones por malware Sign1, sus fechas de registro y las consultas PublicWWW que pueden ayudar a estimar el número de sitios infectados.                                                                        

DomainRegistration DatePublicWWW Detections
js.abc-cdn[.]online31/7/20231873 sites
spf.js-min[.]site07/09/23581 sites
cdn.jsdevlvr[.]info18/9/2023245 sites
cdn.wt-api[.]top22/9/2023316 sites
load.365analytics[.]xyz17/10/20232790 sites
stat.counter247[.]live18/10/20231089 sites
js.opttracker[.]online19/10/20233667 sites
l.js-assets[.]cloud25/10/20234445 sites
api.localadswidget[.]com24/11/20231229 sites
page.24supportkit[.]com05/12/232163 sites
streaming.jsonmediapacks[.]com29/12/20231291 sites
js.schema-forms[.]org18/1/2024N/A
stylesheet.webstaticcdn[.]com05/02/24N/A
assets.watchasync[.]com22/2/2024N/A
tags.stickloader[.]info06/03/24N/A

Tabla. Dominios utilizados por diferentes oleadas de infecciones por malware Sign1

Inicialmente, los dominios estaban alojados en el servidor 162.0.228.112 de Namecheap. Después, los atacantes empezaron a utilizar un servidor de la red HETZNER (5.75.230.95, 95.217.217.254, 128.140.70.175) y empezaron a utilizar Cloudflare para ocultar la ubicación del servidor.

Referencia:

https://www.securityweek.com/39000-websites-infected-in-sign1-malware-campaign

Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

Síguenos
Suscríbete

Recibe nuestro boletín para mantenerte actualizado