Un keylogger ataca a más de 2.000 páginas de WordPress

Escrito por Javier Jiménez

Un grupo de investigadores de seguridad han descubierto más de 2.000 sitios de WordPress con un keylogger que se está cargando en la página de inicio de sesión de la plataforma y una secuencia de comandos de cifrado (minero de criptomoneda en el navegador) en sus interfaces. Esta cifra incluso podría ser mayor, según los investigadores. A principios de diciembre del año pasado hubo algo similar. Los expertos indican que podría tener relación.

Un keylogger afecta a sitios de WordPress

Como sabemos, WordPress es uno de los gestores de contenidos más utilizados por los usuarios. Muchas páginas webs están desarrolladas en esta plataforma.

El ataque es bastante simple. Los ciberdelincuentes encuentran sitios no seguros de WordPress (normalmente aquellos que ejecutan versiones anteriores o temas y plugins más antiguos) y utilizan exploits para que esos sitios inserten código malicioso en el código fuente.

El código malicioso incluye dos partes. Para la página de inicio de sesión de administrador, el código carga un keylogger alojado en un dominio de terceros. Para la interfaz del sitio, los ladrones cargan el minero de Coinhive y Monero en el navegador utilizando las CPU de las personas que visitan el sitio.

Ya hemos visto que la minería de Monero ha aumentado mucho y ya es una auténtica epidemia. Muchos sitios se han visto afectados.

En la campaña de finales de 2017, los delincuentes cargaron su keylogger desde el dominio “cloudflare.solutions”. Esos ataques afectaron a casi 5.500 sitios de WordPress pero fueron detenidos el 8 de diciembre cuando el registrador eliminó el dominio de los delincuentes.

Tres nuevos dominios

Según un nuevo informe, los delincuentes ahora están cargando el keylogger de tres nuevos dominios: cdjs.online, cdns.ws y msdns.online.

Lo recomendable en estos casos es actualizar WordPress. Mantener las últimas versiones nos facilita poder hacer frente a amenazas como estas. Es importante también asegurarse de que la página no está cargando ningún script sospechoso.

Como hemos mencionado, esta campaña ha estado en marcha desde abril de 2017, y durante la mayor parte de 2017. Los ciberdelincuentes estaban centrados insertando anuncios de banner en los sitios pirateados y cargando scripts de cifrado de Coinhive disfrazados de jQuery falso y archivos JavaScript de Google Analytics.

Sin embargo el mes pasado este grupo cambió a la práctica de recopilar credenciales de administrador a través de keylogger.

Consejos para mejorar la seguridad

En un artículo anterior hablábamos de algunos consejos para mantener la seguridad en WordPress. Cosas básicas que debemos de realizar. Como sabemos existen multitud de amenazas que pueden poner en riesgo el buen funcionamiento de nuestro equipo y, en este caso, de nuestros sitios webs.

Contar con herramientas y programas de seguridad es muy importante. Pero también lo es el sentido común. Muchos tipos de malware requieren de la interacción del usuario para poder ejecutarse. Por ello siempre debemos de estar alertas.

Un keylogger puede recopilar todas nuestras credenciales y datos personales. Es capaz de sacar tanto nuestros nombres de usuario como las contraseñas que utilizamos para los diferentes servicios a los que accedemos.

Fuente > Bleeping Computer