Análisis de #Malware en #WordPress por ESET

A medida que pasan los años crecen las tecnologías utilizadas por los desarrolladores de software para construir o mejorar sus creaciones. Pero, a su vez, crecen las vulnerabilidades que tienen estas tecnologías y los ciberdelincuentes sacan provecho de esto para llevar a cabo sus ataques.

Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tal motivo, el más atacado. Esto no quiere decir que WordPress sea más vulnerable o inseguro a la hora de elegir un CMS; de hecho, muchos de los puntos débiles en esta plataforma resultan ser los complementos que se instalan en ella.

¿Cuál es el impacto de un sitio comprometido?

Desde cualquier punto de vista un sitio comprometido tiene un impacto negativo. Por el lado del dueño o desarrollador es una cuestión grave, ya que un atacante lograría el acceso total a los archivos y datos, y podría abusar del hosting para alojar malware y/o phishing. Una vez que el atacante comienza a propagar estas amenazas, el sitio seguramente comience a ser bloqueado o catalogado como malicioso, e ingresará a una lista negra compuesta por sitios con mala reputación. Sin dudas, esto sería muy dañino para el negocio en el que esté involucrado, el cual estaría perdiendo tanto dinero como visitas.

Un caso real

Hace unos días comenzamos a recibir falsos correos del Poder Judicial de Chile, notificando al receptor que posee deudas debido a una supuesta infracción de tránsito; como consecuencia, se invita al usuario a acceder a un enlace para ver la imagen del momento de la infracción. En el detalle del enlace podemos observar que el sitio de donde se descarga la amenaza es un WordPress que en algún momento fue comprometido (o sigue estándolo).

Resulta un beneficio para los atacantes que estos sistemas tengan grietas de seguridad, ya que se evitan el trabajo de contratar un hosting y que los investigadores puedan dar con él.

wordpress comprometido

Luego de descargar la amenaza, observamos que se trataba de un JavaScript malicioso. Al finalizar el análisis descubrimos que el script tenía como fin descargar dos archivos, un ejecutable (EXE) y un comprimido (ZIP). No podemos dejar de destacar que estos dos nuevos archivos iban a provenir de otro sitio web que también contiene WordPress implementado.

Como te habrás dado cuenta, resulta un objetivo fácil para los ciberdelincuentes atacar este tipo de CMS y obtener alguna ventaja de ellos. En este caso lograron algún tipo de acceso a través de una vulnerabilidad, que les permitió alojar archivos en el servidor web.

2-code

Al obtener los dos archivos que el JavaScript intenta descargar, corroboramos que se trataba de un ejecutable y un comprimido. Analizando el primero observamos que era 7-Zip, un software para comprimir y descomprimir archivos. Si volvemos a observar el JavaScript en la línea 38 se encuentra la password que protege al ZIP, y en la línea 40 el comando con los argumentos y parámetros para descomprimirlo.

Tal como se ve en la siguiente captura, obtuvimos un ejecutable, al cual los productos de ESET detectan como Win32/Spy.Banker. Como la firma describe, es un malware encargado de robar credenciales bancarias.

3-detection

Conclusión

Existen muchos y variados casos como el que acabamos de presentar porque sigue habiendo malas implementaciones; además, no hay un consentimiento sobre la seguridad de la información en las aplicaciones que utilizamos, ya sea para ocio o para nuestro negocio. Por tales motivos, es crucial mantenerte actualizado e informado al respecto de las amenazas y vulnerabilidades que podrían afectarte, para luego tomar las precauciones necesarias e instalar los parches de seguridad.

Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress son:

  • Actualizar WordPress, complementos y temas
  • No tener más de un CMS en un mismo servidor
  • Instalar complementos conocidos y de confianza
  • Usar temas de WordPress seguros y de confianza
  • Utilizar contraseñas robustas

De esta forma, evitarás ser víctima de ciberataques.

Fuente: We Live Security

Limpiando malware de nuestro navegador

En el mundo de las nuevas tecnologías, la seguridad se ve cada vez más comprometida por cientos de miles de aplicaciones que se desarrollan para buscar las vulnerabilidades de nuestros equipos y explotar aspectos sensibles de nuestra privacidad y en general a este tipo de aplicaciones las llamamos malware.

Dentro del malware encontramos muchos tipos diferentes, desde aquellos que se dedican a mostrarnos publicidad, los que tratan de obtener información confidencial o los que secuestran nuestro navegador, cambiando la página de inicio, los motores de búsqueda y en definitiva todo lo relacionado con esta aplicación. Por lo general este malware destinado a secuestrar nuestro navegador actúa sobre todos los navegadores conocidos y no bastará con restablecer la configuración original para solucionar el problema, ya que el malware seguirá existiendo y actuando, por lo que necesitamos una solución real y definitiva.

Read More

Cómo protegerte de aplicaciones maliciosas que ponen en peligro tu seguridad en Internet

Y porque nunca, nunca, nunca, deberías bajar nada desde Download.com

Uno creería que muchos años utilizando Windows y descargando aplicaciones en cuanto sitio se te ocurra, te preparan para identificar un programa de dudosa procedencia cuando se aparece la lista de software instalado en tu ordenador. También podía pensar que después de una década navegando por Internet, serías capaz de identificar cual es el verdadero botón de descarga el 100% de las veces. Uno estaría equivocado. El malware es listo; los usuarios, humanos.

Read More