La campaña de malware SoakSoak continúa imparable

Escrito por Adrián Crespo
Seguridad
0

Todavía son muchos los blogs que están ejecutando una versión de RevSlider que está afectada por la vulnerabilidad que permitía realizar el ataque SoakSoak (llamado así por la página original desde donde se realiza). Los ciberdelincuentes tienen la intención de continuar con su marcha triunfal y han puesto en funcionamiento una nueva oleada para infectar más sitios web de la plataforma WordPress y que se sumen a los más de 100.000 contabilizados.

Para aquellos que aún no conozcan en qué consiste esta infección, aprovechando una vulnerabilidad presente en algunas versiones del complemento RevSlider disponible para WordPress, los ciberdelincuentes han aprovechado para cargar en cada página que posee el sitio web un javascript para conseguir la carga de un malware desde otra página (en este caso SoakSoak.ru, de ahí el nombre del virus). Sin embargo, tal y como era de esperar Google ya ha bloqueado el acceso a la página al detectar la presencia de contenido malicioso, por lo que los ciberdelincuentes deben buscar otra vía para instalar el software malicioso.

Hasta ahora el ataque se realizaba gracias a wp-includes/js/swfobjct.swf, sin embargo, esto ahora ha cambiado y los ciberdelincuentes están utilizando en esta nueva oleada wp-includes/js/json2.min.js, mucho más elaborado que el anterior y cargando el software desde otro tipo de medio, un servidor FTP.

La idea de los ciberdelincuentes es conseguir que los usuarios con navegador Firefox o Internet Explorer 11 instalen este complemento que los de acceso al equipo. De esta forma el usuario se encuentra con un problema, ya que la nueva versión utilizada posee una tasa de detección nula según los responsables de VirusTotal.

Las páginas que hagan uso de RevSlider deben actualizar el complemento

detección presencia soaksoak sitio wordpress

La falta de organización por parte de los desarrolladores del complemento ha provocado que aún muchos usuarios utilicen versiones del RevSlider que están afectadas por la vulnerabilidad. Los usuarios que adquirieron el producto desde la página de los desarrolladores fueron parcheados de forma automática a la nueva versión. Sin embargo, existe un número todavía bastante importante de usuario de este complemento que no han recibido la actualización y deberán realizar esta actualización de forma manual.

De los 100.000 que había con respecto a la anterior oleada, Google ha marcado a 11.000 como sitio web no apropiado, pero se cree que durante la presencia de esta nueva este número se incremente y supere con creces al anterior.

Fuente | Softpedia