Ocultan una puerta trasera en un falso plugin de seguridad de WordPress

Escrito por Javier Jiménez

Un ciberdelincuente ha ocultado el código de una puerta trasera de PHP dentro del código fuente de un plugin de WordPress disfrazado de herramienta de seguridad llamada “X-WP-SPAM-SHIELD-PRO”. El atacante trataba de rebajar la reputación de un plugin legítimo y muy popular de WordPress llamado “WP-SpamShield Anti-Spam”, una popular herramienta anti-spam para los sitios de WordPress alojados por los propios usuarios.

Puerta trasera en un falso plugin

En cambio, los usuarios que descargaron X-WP-SPAM-SHIELD-PRO obtuvieron una desagradable sorpresa en forma de puerta trasera que permitió al atacante crear su propia cuenta de administrador en el sitio, cargar archivos en los servidores de la víctima, deshabilitar todos los complementos y más.

Todo el comportamiento malicioso se extendió a través de los archivos de plugin falsos. Por ejemplo:

Plugin falsos

class-social-facebook.php: se presenta como una herramienta de protección de spam de redes sociales. Sin embargo el código que se encuentra dentro envía una lista de complementos del usuario al atacante y deshabilita opcionalmente todos ellos. La razón para inhabilitar todos los complementos es apagar cualquier otro complemento de seguridad que bloquee el acceso a las funciones de inicio de sesión o detecte los accesos no autorizados del hacker.

class-term-metabox-formatter.php: envía la versión de WordPress del usuario al atacante.

class-admin-user-profile.php: envía una lista de todos los usuarios administradores de WordPress al atacante.

plugin-header.php: agrega un usuario admin adicional llamado mw01main.wp-spam-shield-pro.php – filtra el servidor del hacker ubicado en mainwall.org, dejando al atacante saber cuándo un nuevo usuario instaló el plugin falso. Los datos que envía este archivo incluyen el usuario, la contraseña, la URL del sitio infectado y la dirección IP del servidor.

Cargar un archivo ZIP

Este último archivo también incluye código para permitir al atacante cargar un archivo ZIP en el sitio de la víctima, descomprimirlo y luego ejecutar los archivos dentro.

En el momento en que los investigadores de seguridad encontraron el complemento malicioso, el archivo ZIP ofrecido para descarga estaba dañado, pero los expertos creen que el atacante estaba implementando una versión contaminada del conocido plugin WordPress de All In One SEO Pack.

De acuerdo con Sucuri, la empresa de seguridad cibernética que descubrió X-WP-SPAM-SHIELD-PRO, el plugin nunca estuvo en el repositorio oficial de plugins de WordPress. Fue puesto a disposición de los usuarios a través de otras fuentes.

En general, el plugin atrae a los usuarios que se preocupan por la seguridad de su sitio, pero en realidad, es más perjudicial aún.

Al igual que con Google Play Store, la App Store de Apple y otras tiendas oficiales, se recomienda a los usuarios de WordPress que instalen plugins gratuitos del repositorio oficial de complementos. A pesar de que el repositorio de plugins de WordPress y sus administradores están lejos de ser perfectos, los complementos ofrecidos para descarga son utilizados por la comunidad, que a menudo detecta y reporta la mayoría de estas amenazas a tiempo.

Lo mejor es descargar de los repositorios oficiales y asegurarnos de la procedencia. Mantener nuestro equipo actualizado y con un buen software de seguridad, también es importante.

Continúa leyendo

Últimos análisis

Valoración RZ
9
Valoración RZ
6
Valoración RZ
8
Valoración RZ
10
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10