6.000 sitios de WordPress en riesgo: cómo los complementos falsos roban datos
Los piratas informáticos incorporan código malicioso directamente en HTML. ¿Cómo asegurar sus recursos?
Los hackers están atacando activamente sitios de WordPress para instalar plugins maliciosos y distribuir actualizaciones falsas de navegadores, bajo las cuales se oculta software diseñado para el robo de datos.
Desde 2023, la campaña llamada ClearFake infecta sitios comprometidos, mostrando banners con actualizaciones falsas de navegadores. En 2024, apareció una nueva variante: ClickFix, que simula mensajes de error de software con supuestas "correcciones" integradas. Estas "correcciones" activan scripts de PowerShell que descargan e instalan malware.
ClickFix recientemente comenzó a ser utilizado para crear notificaciones falsas en servicios populares como Google Chrome, Google Meet y Facebook. Además, los hackers sustituyen los CAPTCHA para convencer a los usuarios de realizar una "actualización".
La semana pasada, la empresa GoDaddy informó que los atacantes comprometieron más de 6000 sitios de WordPress para instalar plugins falsos utilizados para insertar estas notificaciones fraudulentas. El investigador de seguridad Denis Sinegubko explicó que los plugins se disfrazan de inofensivos e incluso imitan los nombres de extensiones legítimas como Wordfence Security y LiteSpeed Cache.
Los atacantes también crean plugins con nombres ficticios, incluyendo Universal Popup Plugin, SEO Booster Pro y Custom CSS Injector. Estos plugins inyectan scripts maliciosos de JavaScript en el código HTML de los sitios, lo que lleva a la aparición de notificaciones falsas.
El análisis de los registros de los servidores web muestra que los hackers utilizan credenciales de administrador robadas para iniciar sesión automáticamente en los sitios. La intrusión se realiza mediante una única solicitud POST, evitando la página de inicio de sesión estándar, lo que indica que ya disponían de las credenciales.
Las causas de la filtración de datos siguen sin estar claras, pero los investigadores sospechan que pudieron obtenerse mediante ataques de phishing, fuerza bruta o malware. En caso de detectar notificaciones falsas, se recomienda a los administradores de sitios que revisen de inmediato la lista de plugins, eliminen los sospechosos y cambien las contraseñas por otras únicas.
¿Estás cansado de que Internet sepa todo sobre ti?