Lo de los complementos del popular gestor de contenidos web comienza a ser algo bastante preocupante. Sí que es verdad que hemos hablado de muchos que eran propiedad de los ciberdelincuentes y que estaban diseñados para robar datos, pero en esta ocasión se trata de Custom Content Type Manager, sin lugar a dudas uno de los más utilizado por los usuarios de WordPress.
Los expertos de seguridad de la empresa Sucuri han sido los encargados en dar la luz de alarma cuando uno de los usuarios acudió a ellos debido a la existencia de un archivo tras una reciente actualización y que poseía el nombre auto-update.php. El plugin que nos ocupa es sin lugar a dudas uno de los más utilizados en la actualidad, ya que en muy poco tiempo consiguió más de 10.000 descargas desde el repositorio oficial del gestor de contenidos.
Hace dos semanas se publicó una actualización contra todo pronóstico, ya que llevaba más de seis meses abandonada y hace poco se había producido un cambio de dueño. Casualidades o no, este ha publicado una actualización para cambiar de versión el complemento.
Pero la realidad es que la finalidad de esta actualización no es legítima y el fichero que hemos mencionado con anterioridad permite la actualización del complemento y la descarga de otro software de forma autónoma y sin que el usuario sea consciente.
Custom Content Type Manager posee una puerta trasera
Además del citado con anterioridad, los expertos de Sucuri han detectado la presencia de otro archivo con el nombre CCTM_Communicator.php y que parece que posee como única función, con ayuda de otro plugin más antiguo, comunicar al servidor de que otro sitio web está infectado.
Lo más preocupante sin lugar a dudas es que el complemento interviene en el proceso de inicio de sesión de los usuarios y procede a la recopilación de las credenciales, enviándolos de forma segura a wordpresscore.com.
La versión 0.9.8.8 de este complemento es la que se encuentra afectada por estas modificaciones que juegan en contra de la finalidad que en un principio poseía la herramienta, instalándose de forma silenciosa sin informar al usuario de la finalidad real de esta nueva versión.
Desde la compañía de seguridad han detectado que el propietario del plugin ha intentado acceder a varios sitios web en los que se ha producido el robo de credenciales, fallando en varios de ellos, ya que el propietarios posee una URL modificada para iniciar sesión.
El ciberdelincuente cambia de estrategia ante estos problemas
Dado los problemas detectados, desde Sucuri han detectado que ha procedido a utilizar auto-update.php para hacer llegar el archivo c.php, otro archivo que crea wp-options.php cuya única finalidad es editar otros y así recuperar el acceso al sitio web o lo que es lo mismo, modificar la configuración realizada por el usuario.
Fuente | Softpedia