Krasimir Konov, analista de malware de Sucuri, ha informado de una persistente campaña de inyección de scripts maliciosos en sitios web de WordPress comprometidos. Esta campaña aprovecha las vulnerabilidades conocidas de los temas y plugins de WordPress y ha afectado a un enorme número de sitios web a lo largo del año.
El procedimiento estándar es infectar archivos como jquery.min.js y jquery-migrate.min.js con JavaScript ofuscado que se activa en cada carga de la página, permitiendo al atacante redirigir a los visitantes del sitio web a un destino de su elección.
La compañía de seguridad de sitios web dijo que los dominios al final de la cadena de redireccionamiento podrían ser utilizados para cargar anuncios, páginas de phishing, malware, o incluso desencadenar otro conjunto de redirecciones.
En algunos casos, los usuarios desprevenidos son llevados a una página de destino de la redirección falsa que contiene una comprobación CAPTCHA falsa, y al hacer clic en ella se muestran anuncios no deseados que se disfrazan para parecer que proceden del sistema operativo y no de un navegador web.
Se cree que la campaña, continuación de otra oleada detectada el mes pasado, ha afectado a 322 sitios web hasta ahora, desde el 9 de mayo. El conjunto de ataques de abril, por su parte, ha vulnerado más de 6.500 sitios web.
Todos los sitios web compartían un problema común: se había inyectado JavaScript malicioso en los archivos del sitio web y en la base de datos, incluidos los archivos legítimos del núcleo de WordPress, como:
./wp-includes/js/jquery/jquery.min.js
./wp-includes/js/jquery/jquery-migrate.min.js
Una vez comprometido el sitio web, los atacantes intentaron infectar automáticamente cualquier archivo .js con jQuery en los nombres. Inyectaron código que comienza con “/* trackmyposs*/eval(String.fromCharCode…”
Sin embargo, estaba claro que los atacantes habían tomado algunas medidas para evadir la detección y habían ofuscado su JavaScript malicioso con CharCode.
Desde la perspectiva de un visitante del sitio, simplemente verán la siguiente página de malware antes de llegar al destino final. Esta página engaña a los usuarios desprevenidos para que se suscriban a las notificaciones push del sitio malicioso. Si hacen clic en el CAPTCHA falso, se suscribirán para recibir anuncios no deseados incluso cuando el sitio no esté abierto, y los anuncios parecerán proceder del sistema operativo, no de un navegador.
