Utilizan sitios web de WordPress para distribuir un ransomware

Escrito por Adrián Crespo

Hace varios días los investigadores de Sucuri advirtieron de una campaña se estaba llevando a cabo para comprometer la seguridad de sitios web que hacían uso de este CMS y así conseguir distribuir una puerta trasera. Sin embargo, parece que las tornas han cambiado y las páginas que utilizan WordPress y han sido hackeadas se están utilizando para distribuir un ransomware.

Con anterioridad se hacía uso de la amenaza Andromeda para infectar los equipos. Sin embargo, debido a la baja tasa de infección mostrada estos han cambiado de idea y han pasado a utilizar una nueva variante de TeslaCrypt que en la actualidad posee una tasa de detección muy baja según VirusTotal. Otros expertos en seguridad añaden que el número de dominios que en la actualidad se encuentran afectados por esta práctica asciende a más de un centenar y creen que durante las próximos días seguirá creciendo.

Cuando sucede esto, las miradas se centran en los administradores de estos sitios ya que la mayoría de las ocasiones en las que aparecen problemas similares todo está justificado por una configuración de seguridad deficiente que ha permitido a los ciberdelincuentes conseguir el acceso al panel de control del sitio web.

Pero en esta ocasión los administradores no tienen la culpa de nada y los propios expertos en seguridad han catalogado de extraña la forma de actuar de los ciberdelincuentes en lo referido a cómo están distribuyendo la amenaza.

teslacrypt distribuido a través de blogs de wordpress

Todo parece indicar que el código JavaScript que provoca la descarga del instalador del ransomware se inyecta en la página como si de un iFrame se tratara. Pero lo más curioso de todo es que los ciberdelincuentes han conseguido que el código se replique en todos los sitios web que están alojados en el mismo servidor. Esto se ve traducido en que si procedemos a la eliminación de este código y si otro sitio web lo posee es probable que en unas horas el nuestro esté de nuevo infectado.

La variante de TeslaCrypt distribuida en WordPress posee el mismo funcionamiento que otras

El motivo que haya llevado a los ciberdelincuentes a cambiar Andromeda por una variante de este ransomware es muy sencilla: la primera la detectan todas las herramientas de seguridad, y hoy en día utilizar la segunda es sinónimo de victoria al menos de forma temporal.

El funcionamiento de la amenaza es el mismo que hemos podido ver hasta el momento en otras. En primer lugar se produce el cifrado de los archivos, después se crea un documento de texto en el que se explica lo que ha sucedido. Sin embargo, la novedad podría decirse que es que determinadas aplicaciones dejan de funcionar, como por ejemplo los navegadores web.

Te puede interesar:

¿Cómo puedo proteger los archivos frente a los ransomware?

Fuente | Softpedia

Continúa leyendo
  • milton

    estoy creando un laboratorio experimental, para hacer frente a estas amenazas. no es un antivirus. es una medida preventiva.
    para ello recurro a usted, por si conoce alguna web infectada con la cual pudiera infectarme y asi prpbar mi solucion.
    agradezco de antemano su gentil atencion al presente

Últimos análisis

Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10
Valoración RZ
8