Probablemente este hackeo podría ser una más para la mayoría de nosotros, achacándolo a un problema creado por el administrador del sitio web. Sin embargo, si hablamos de SoakSoak y del complemento RevSlider es probable que a muchos se nos refresque la memoria. Y es que haciendo uso de la vulnerabilidad existente en este complementos los ciberdelincuentes han logrado hacerse con el control de la página web Pastebin.
Después de conseguir el acceso no autorizado a la página y todos sus contenidos los ciberdelincuentes han buscado la forma de mantener el control sobre esta una vez que la vulnerabilidad sea resuelta, es decir, una vez que el complemento sea actualizado a una versión segura. Para esto se habían encargado de instalar una puerta trasera, utilizada además para hackear otros sitios web con las mismas carencias que este. Hay que recordar que la finalidad legítima de la página es la de compartir código que se encuentre dentro de una conducta aceptable. Sin embargo, los hackers han utilizado esta para alojar el código malicioso que permite el hackeo de las páginas afectado por esta vulnerabilidad y la posterior puesta en funcionamiento de la puerta trasera.
A pesar de almacenar todos los códigos como texto plano, se habla de la utilización de herramientas de cifrado que provocan la adaptación de este a un formato correcto, permitiendo su ejecución incluso de una forma remota.
Una vulnerabilidad resuelta desde principios del pasado año
Tal y como ya informamos en su momento, la vulnerabilidad existente en el complemento ya había sido resuelta con anterioridad, siendo el problema la falta de actualización del complemento en las diferentes páginas a la nueva versión que sí es segura. Pastebin es una víctima más de la nueva oleada del ataque SoakSoak que anunciamos el pasado año. Por lo tanto, la solución se encuentra ahora en manos de los administradores de los sitios web, tal y como suele ser habitual.
Distribución de malware utilizando Pastebin
De la misma forma que se busca afectar a otros sitios web utilizando este, durante unas horas se ha llegado a hablar de código malware disponible en el repositorio catalogado como legítimo para que los usuarios realicen la descarga e infecten su equipo, aunque esto parece haber sido una falsa alarma, o al menos ha estado disponible muy poco tiempo.
Fuente | Softpedia