El malware SoakSoak infecta más de 100000 webs de WordPress

0

Wordpress es atacado por SoakSoakGoogle ha metido en la lista negra (blacklist) más de 11000 dominios que han sido infectados con el malware SoakSoak. Esta amenaza redirige el tráfico del usuario hacia objetivos maliciosos o descargas no confiables.

WordPress vuelve a ser objetivo

WordPress es, de largo, el CMS más importante a día de hoy cuando se trata de administrar páginas web. Más de 70 millones de webs en todo el mundo usan esta plataforma. Como los hackers están muy pendientes de las modas y gustos de la gente, continuamente buscan fórmulas para atacar las de mayor éxito, incluyendo WordPress por supuesto.

Muchas veces lo intentan a través de plugins maliciosos o modificaciones en los existentes a través de accesos no autorizados. Otras veces, lo hacen explotando vulnerabilidades en la propia plataforma web.

Según han publicado los expertos en seguridad de Sucuri Labs, en este caso ya se han comprometido más de 100000 sitios web, mediante ataques a la plataforma WordPress y posterior desvío a descargas y ejecución de malware.

El ritmo de SoakSoak

Ante el crecimiento exponencial de SoakSoak, Google se ha visto obligada a bloquear mediante blacklisting unos 11000 dominios en los últimos días. El nombre procede de la principal web que ha estado sirviendo el malware: soaksoak.ru.

Por tanto, podemos catalogar -sin miedo a equivocarnos- a SoakSoak como una epidemia. Sucuri ha dado algunos detalles sobre la amenaza y como ha estado atacando diferentes plataformas y sitios web basados en WordPress.

Nuestros análisis muestran impactos del orden de cien mil sitios webs diferentes en WordPress. No podemos confirmar el vector exacto, pero un análisis preliminar muestra una correlación con la vulnerabilidad anterior llamada Revslider, meses atrás.”

Esta campaña de malware representa una enorme amenaza para la comunidad internauta, particularmente para sitios web que se basan en la plataforma WordPress y sus visitantes. Una vez las víctimas son infectadas, serán redirigidas de forma aleatoria hacia SoakSoak.ru  y páginas derivadas y el malware será capaz de descargar su contenido malicioso en la máquina.

Detalles sobre el funcionamiento de SoakSoak

El malware del que hablamos opera modificando un archivo localizado en:

wp-includes/template-loader.php

Esto ocasionará que wp-includes/js/swobject.js sea cargado en cada página visitada del sitio web. Este archivo llamado swobject.js incluye un script malicioso diseñado en Java.

Sucuri SiteCheck

Sucuri nos ha proporcionado un escáner gratuito para los administradores de sitios web que se basen en el popular CMS WordPress. Buscará de forma rápida cualquier resto de SoakSoak en nuestra plataforma.

sucuri sitecheck

Ejemplo de una web que ha sido infectada con el malware SoakSoak:

Sucuri SiteChek encuentra la amenaza SoakSoak

Sucuri SiteChek encuentra la amenaza SoakSoak

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR