SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/malware-virus/un-ataque-sitios-wordpress-y-joomla-instala-malware-en-tu-pc/
TAGS: Joomla, Malware, WordPress
Los sitios con Wordpress y Joomla vuelven a contar con ataques que ponen en duda la seguridad en la red, con miles de infectados. Y es que se ha encontrado una importante vulnerabilidad en estos gestores de contenido que permite a terceros instalar código malicioso que se dedica a redirigir a usuarios seleccionados a otros sitios para infectarles con malware o intentar engañarles con ingeniería social.
La empresa Sucuri acaba de reportar miles de accesos no autorizados a sitios Joomla y Wordpress que ya ha infectado a miles de usuarios. En concreto este ataque consigue añadirhasta 12 nuevas líneas de código adicionales en header.php (Wordpress) que provoca redirecciones no deseadas a algunos usuarios a sitios que son la puerta de entrada de nuevas infecciones. En Joomla, en menor número de ocasiones, también se ha visto un añadido de código malicioso en el archivo administrator/includes/help.php.
Aunque no explican cuál es la principal puerta de acceso a estos sitios, sí que uno de ellos son las propias debilidades de las credenciales de acceso con las que cuentan algunos sitios, donde es fácil averiguar con programas el usuario y contraseña.
¿Cómo es el proceso una vez que el usuario entra a alguno de estos sitios con código malicioso instalado? Un 15% de los usuarios que acceden a estas webs infectadas son redirigidos a otros sitios webs que son la puerta de entrada a otras infecciones: desde la descarga de actualizaciones falsas de Adobe Flash o Java, hasta falsos soportes técnicos de grandes empresas, en este caso haciendo uso de ingeniería social para conseguir datos comprometidos de los usuarios.
Algunas de las URL a las que puede ser redirigido el usuario son default7[.]com, test246[.]com, test0[.]com, distinctfestive[.]com y ableoccassion[.]com, aunque hay otras direcciones a las que puede ser llevado según el tipo de navegador que esté usando el usuario que ya ha sido infectado.
De momento se tienen constancia de que hay 6.400 usuarios infectados, aunque se cree que el número es mucho mayor. Si eres administrador de sitios Wordpress o Joomla, averigua si dentro del código de tu página se han introducido líneas sospechosos que no reconoces, algunas parecidas a las de la captura que acompaña a la noticia.
Noticias de seguridad informática
No comments:
Post a Comment