Los sitios de WordPress, plataforma que alberga millones de páginas web en todo el mundo, se han convertido en el objetivo de ataques cibernéticos a gran escala. Estos ataques se centran en la instalación de complementos maliciosos que despliegan mensajes falsos de actualización de software y errores, con el fin de distribuir malware diseñado para robar información confidencial. La creciente prevalencia de estas amenazas ha puesto en alerta a la comunidad de seguridad digital, ya que las credenciales robadas en estos ataques se utilizan para comprometer redes y exfiltrar datos sensibles.
A lo largo de los últimos años, este tipo de malware ha ganado un terreno significativo y se ha convertido en una amenaza constante para la integridad de sitios web a nivel global.
Evolución de las Campañas de Malware
En 2023, una campaña maliciosa bautizada como ClearFake comenzó a infectar sitios web, desplegando banners falsos de actualización de navegadores web que en realidad ocultaban malware especializado en el robo de información. Estos banners engañosos convencían a los usuarios de que necesitaban actualizar su software, y al hacer clic, se descargaba malware en sus dispositivos. A partir de 2024, surgió una nueva campaña llamada ClickFix, la cual comparte muchas similitudes con ClearFake, pero con un enfoque diferente. En lugar de simular actualizaciones de navegador, ClickFix se disfraza de mensajes de error de software que ofrecen «soluciones» para estos errores. Sin embargo, estas supuestas correcciones no son más que scripts maliciosos de PowerShell que, al ejecutarse, descargan e instalan malware que roba información personal y empresarial.
A medida que avanza 2024, ClickFix ha aumentado su actividad, con actores de amenazas comprometiendo sitios para mostrar banners falsos que simulan errores en servicios populares como Google Chrome, Google Meet, Facebook, e incluso en las verificaciones captcha. Esta táctica ha sido especialmente exitosa debido a la confianza que los usuarios depositan en estos servicios y la naturaleza convincente de los mensajes falsos.
Complementos Maliciosos en WordPress
En septiembre de 2024, la empresa de seguridad digital GoDaddy reveló que más de 6,000 sitios de WordPress habían sido comprometidos como parte de las campañas ClearFake y ClickFix. Los ciberdelincuentes instalaron complementos maliciosos que mostraban a los usuarios alertas falsas de actualización de navegador. Estos complementos maliciosos estaban diseñados para parecer legítimos y, en muchos casos, llevaban nombres similares a los de populares herramientas de WordPress, como Wordfence Security o LiteSpeed Cache. En otros casos, los complementos utilizaban nombres genéricos e inventados que no levantaban sospechas entre los administradores del sitio.
Entre junio y septiembre de 2024, los complementos maliciosos observados incluyen nombres como:
- Caché clásico de LiteSpeed
- MonsterInsights Clásico
- Seguridad clásica de Wordfence
- Potenciador de SEO Pro
- Personalizador de la barra de administración
- Bloqueador de contenido
Sucuri, otra empresa de seguridad cibernética, también identificó un complemento denominado Universal Popup Plugin, el cual forma parte de esta campaña. Al instalarse en los sitios comprometidos, estos complementos inyectan scripts maliciosos de JavaScript directamente en el código HTML del sitio. Posteriormente, estos scripts cargan otros archivos maliciosos alojados en la cadena de bloques de Binance Smart Chain (BSC). Finalmente, el sitio despliega banners de actualización falsos de ClearFake o mensajes de error falsos de ClickFix, continuando con la infección de los usuarios finales.
Métodos de Ataque y Precauciones
Los análisis de seguridad han revelado que los actores de amenazas utilizan credenciales de administrador robadas para acceder a los sitios de WordPress y llevar a cabo la instalación de estos complementos maliciosos. Una vez que obtienen estas credenciales, el proceso de instalación del complemento malicioso es automático y se lleva a cabo mediante una única solicitud HTTP POST, lo que sugiere que los atacantes no necesitan acceder manualmente a la página de inicio de sesión del sitio. Este proceso automatizado es indicativo de que los atacantes ya han obtenido las credenciales a través de métodos previos, como ataques de fuerza bruta, campañas de phishing o mediante malware que roba información.
Aunque no está claro cómo los atacantes obtienen las credenciales en todos los casos, se cree que muchos de estos ataques son facilitados por el uso de contraseñas débiles o reutilizadas, lo que los hace vulnerables a ataques de fuerza bruta. También se ha señalado la posibilidad de que los ciberdelincuentes utilicen campañas de phishing para engañar a los administradores de sitios web y robar sus credenciales, o bien, mediante el uso de malware diseñado específicamente para capturar contraseñas.
Medidas de Seguridad Recomendadas
Si usted es propietario de un sitio web de WordPress y ha recibido informes de alertas falsas que se muestran a sus visitantes, es esencial que tome medidas inmediatas para asegurar su sitio. Las siguientes recomendaciones pueden ayudarle a mitigar el riesgo:
- Revise los complementos instalados: Examine cuidadosamente todos los complementos de WordPress que tiene instalados en su sitio. Si encuentra complementos que no ha instalado personalmente o que parecen sospechosos, elimínelos de inmediato.
- Restablezca las contraseñas de los administradores: Es recomendable restablecer las contraseñas de todos los usuarios con privilegios de administrador. Asegúrese de que cada contraseña sea única y robusta. Evite reutilizar contraseñas que haya utilizado en otros sitios o servicios.
- Implemente autenticación de dos factores (2FA): Añadir una capa adicional de seguridad a las cuentas de administrador mediante la autenticación de dos factores puede dificultar significativamente que los atacantes accedan a su sitio, incluso si logran obtener las credenciales de inicio de sesión.
- Monitoree el tráfico del sitio: Utilice herramientas de análisis para monitorear el tráfico y detectar comportamientos sospechosos, como inicios de sesión automáticos o actividad inusual de los usuarios.
- Mantenga el software actualizado: Mantenga WordPress, sus complementos y temas actualizados a las últimas versiones para asegurarse de que cualquier vulnerabilidad conocida sea corregida lo antes posible.
- Implemente medidas de seguridad adicionales: Instalar complementos de seguridad confiables como Wordfence Security o Sucuri Security puede ayudar a proteger su sitio contra amenazas potenciales. Estos complementos ofrecen funciones como el bloqueo de IPs sospechosas, escaneos automáticos en busca de malware y alertas de seguridad.
En Resumen
Las campañas de malware como ClearFake y ClickFix demuestran la creciente sofisticación de los ataques cibernéticos dirigidos a plataformas populares como WordPress. A medida que los actores de amenazas continúan perfeccionando sus técnicas, es crucial que los administradores de sitios web tomen medidas proactivas para proteger sus sitios y a sus usuarios. Desde la revisión constante de los complementos instalados hasta la implementación de autenticación de dos factores, cada acción contribuye a reducir el riesgo de comprometer un sitio web.
La evolución constante de estas amenazas subraya la importancia de mantenerse informado sobre las últimas tendencias en seguridad cibernética y adoptar las mejores prácticas para proteger los activos digitales. Los administradores de sitios web deben estar vigilantes y tomar las precauciones necesarias para defenderse de los ataques emergentes, ya que la seguridad de su sitio y la de sus usuarios depende de ello.
