{"id":3285,"date":"2024-10-23T09:33:37","date_gmt":"2024-10-23T14:33:37","guid":{"rendered":"https:\/\/zidrave.net\/?p=3285"},"modified":"2024-10-23T09:33:38","modified_gmt":"2024-10-23T14:33:38","slug":"mas-de-6-000-sitios-de-wordpress-hackeados-para-instalar-plugins-que-impulsan-a-los-ladrones-de-informacion","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/10\/23\/mas-de-6-000-sitios-de-wordpress-hackeados-para-instalar-plugins-que-impulsan-a-los-ladrones-de-informacion\/","title":{"rendered":"M\u00e1s de 6.000 sitios de WordPress hackeados para instalar plugins que impulsan a los ladrones de informaci\u00f3n"},"content":{"rendered":"\n

Los sitios de WordPress, plataforma que alberga millones de p\u00e1ginas web en todo el mundo, se han convertido en el objetivo de ataques cibern\u00e9ticos a gran escala. Estos ataques se centran en la instalaci\u00f3n de complementos maliciosos que despliegan mensajes falsos de actualizaci\u00f3n de software y errores, con el fin de distribuir malware dise\u00f1ado para robar informaci\u00f3n confidencial. La creciente prevalencia de estas amenazas ha puesto en alerta a la comunidad de seguridad digital, ya que las credenciales robadas en estos ataques se utilizan para comprometer redes y exfiltrar datos sensibles.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

A lo largo de los \u00faltimos a\u00f1os, este tipo de malware ha ganado un terreno significativo y se ha convertido en una amenaza constante para la integridad de sitios web a nivel global.<\/p>\n\n\n\n

Evoluci\u00f3n de las Campa\u00f1as de Malware<\/h3>\n\n\n\n

En 2023, una campa\u00f1a maliciosa bautizada como ClearFake<\/em> comenz\u00f3 a infectar sitios web, desplegando banners falsos de actualizaci\u00f3n de navegadores web que en realidad ocultaban malware especializado en el robo de informaci\u00f3n. Estos banners enga\u00f1osos convenc\u00edan a los usuarios de que necesitaban actualizar su software, y al hacer clic, se descargaba malware en sus dispositivos. A partir de 2024, surgi\u00f3 una nueva campa\u00f1a llamada ClickFix<\/em>, la cual comparte muchas similitudes con ClearFake<\/em>, pero con un enfoque diferente. En lugar de simular actualizaciones de navegador, ClickFix<\/em> se disfraza de mensajes de error de software que ofrecen \u00absoluciones\u00bb para estos errores. Sin embargo, estas supuestas correcciones no son m\u00e1s que scripts maliciosos de PowerShell que, al ejecutarse, descargan e instalan malware que roba informaci\u00f3n personal y empresarial.<\/p>\n\n\n\n

A medida que avanza 2024, ClickFix<\/em> ha aumentado su actividad, con actores de amenazas comprometiendo sitios para mostrar banners falsos que simulan errores en servicios populares como Google Chrome, Google Meet, Facebook, e incluso en las verificaciones captcha. Esta t\u00e1ctica ha sido especialmente exitosa debido a la confianza que los usuarios depositan en estos servicios y la naturaleza convincente de los mensajes falsos.<\/p>\n\n\n\n

Complementos Maliciosos en WordPress<\/h3>\n\n\n\n

En septiembre de 2024, la empresa de seguridad digital GoDaddy revel\u00f3 que m\u00e1s de 6,000 sitios de WordPress hab\u00edan sido comprometidos como parte de las campa\u00f1as ClearFake<\/em> y ClickFix<\/em>. Los ciberdelincuentes instalaron complementos maliciosos que mostraban a los usuarios alertas falsas de actualizaci\u00f3n de navegador. Estos complementos maliciosos estaban dise\u00f1ados para parecer leg\u00edtimos y, en muchos casos, llevaban nombres similares a los de populares herramientas de WordPress, como Wordfence Security<\/em> o LiteSpeed Cache<\/em>. En otros casos, los complementos utilizaban nombres gen\u00e9ricos e inventados que no levantaban sospechas entre los administradores del sitio.<\/p>\n\n\n\n

Entre junio y septiembre de 2024, los complementos maliciosos observados incluyen nombres como:<\/p>\n\n\n\n

    \n
  • Cach\u00e9 cl\u00e1sico de LiteSpeed<\/strong><\/li>\n\n\n\n
  • MonsterInsights Cl\u00e1sico<\/strong><\/li>\n\n\n\n
  • Seguridad cl\u00e1sica de Wordfence<\/strong><\/li>\n\n\n\n
  • Potenciador de SEO Pro<\/strong><\/li>\n\n\n\n
  • Personalizador de la barra de administraci\u00f3n<\/strong><\/li>\n\n\n\n
  • Bloqueador de contenido<\/strong><\/li>\n<\/ul>\n\n\n\n

    Sucuri, otra empresa de seguridad cibern\u00e9tica, tambi\u00e9n identific\u00f3 un complemento denominado Universal Popup Plugin<\/em>, el cual forma parte de esta campa\u00f1a. Al instalarse en los sitios comprometidos, estos complementos inyectan scripts maliciosos de JavaScript directamente en el c\u00f3digo HTML del sitio. Posteriormente, estos scripts cargan otros archivos maliciosos alojados en la cadena de bloques de Binance Smart Chain (BSC). Finalmente, el sitio despliega banners de actualizaci\u00f3n falsos de ClearFake<\/em> o mensajes de error falsos de ClickFix<\/em>, continuando con la infecci\u00f3n de los usuarios finales.<\/p>\n\n\n\n

    M\u00e9todos de Ataque y Precauciones<\/h3>\n\n\n\n

    Los an\u00e1lisis de seguridad han revelado que los actores de amenazas utilizan credenciales de administrador robadas para acceder a los sitios de WordPress y llevar a cabo la instalaci\u00f3n de estos complementos maliciosos. Una vez que obtienen estas credenciales, el proceso de instalaci\u00f3n del complemento malicioso es autom\u00e1tico y se lleva a cabo mediante una \u00fanica solicitud HTTP POST, lo que sugiere que los atacantes no necesitan acceder manualmente a la p\u00e1gina de inicio de sesi\u00f3n del sitio. Este proceso automatizado es indicativo de que los atacantes ya han obtenido las credenciales a trav\u00e9s de m\u00e9todos previos, como ataques de fuerza bruta, campa\u00f1as de phishing o mediante malware que roba informaci\u00f3n.<\/p>\n\n\n\n

    Aunque no est\u00e1 claro c\u00f3mo los atacantes obtienen las credenciales en todos los casos, se cree que muchos de estos ataques son facilitados por el uso de contrase\u00f1as d\u00e9biles o reutilizadas, lo que los hace vulnerables a ataques de fuerza bruta. Tambi\u00e9n se ha se\u00f1alado la posibilidad de que los ciberdelincuentes utilicen campa\u00f1as de phishing para enga\u00f1ar a los administradores de sitios web y robar sus credenciales, o bien, mediante el uso de malware dise\u00f1ado espec\u00edficamente para capturar contrase\u00f1as.<\/p>\n\n\n\n

    Medidas de Seguridad Recomendadas<\/h3>\n\n\n\n

    Si usted es propietario de un sitio web de WordPress y ha recibido informes de alertas falsas que se muestran a sus visitantes, es esencial que tome medidas inmediatas para asegurar su sitio. Las siguientes recomendaciones pueden ayudarle a mitigar el riesgo:<\/p>\n\n\n\n

      \n
    1. Revise los complementos instalados<\/strong>: Examine cuidadosamente todos los complementos de WordPress que tiene instalados en su sitio. Si encuentra complementos que no ha instalado personalmente o que parecen sospechosos, elim\u00ednelos de inmediato.<\/li>\n\n\n\n
    2. Restablezca las contrase\u00f1as de los administradores<\/strong>: Es recomendable restablecer las contrase\u00f1as de todos los usuarios con privilegios de administrador. Aseg\u00farese de que cada contrase\u00f1a sea \u00fanica y robusta. Evite reutilizar contrase\u00f1as que haya utilizado en otros sitios o servicios.<\/li>\n\n\n\n
    3. Implemente autenticaci\u00f3n de dos factores (2FA)<\/strong>: A\u00f1adir una capa adicional de seguridad a las cuentas de administrador mediante la autenticaci\u00f3n de dos factores puede dificultar significativamente que los atacantes accedan a su sitio, incluso si logran obtener las credenciales de inicio de sesi\u00f3n.<\/li>\n\n\n\n
    4. Monitoree el tr\u00e1fico del sitio<\/strong>: Utilice herramientas de an\u00e1lisis para monitorear el tr\u00e1fico y detectar comportamientos sospechosos, como inicios de sesi\u00f3n autom\u00e1ticos o actividad inusual de los usuarios.<\/li>\n\n\n\n
    5. Mantenga el software actualizado<\/strong>: Mantenga WordPress, sus complementos y temas actualizados a las \u00faltimas versiones para asegurarse de que cualquier vulnerabilidad conocida sea corregida lo antes posible.<\/li>\n\n\n\n
    6. Implemente medidas de seguridad adicionales<\/strong>: Instalar complementos de seguridad confiables como Wordfence Security<\/em> o Sucuri Security<\/em> puede ayudar a proteger su sitio contra amenazas potenciales. Estos complementos ofrecen funciones como el bloqueo de IPs sospechosas, escaneos autom\u00e1ticos en busca de malware y alertas de seguridad.<\/li>\n<\/ol>\n\n\n\n

      En Resumen<\/h3>\n\n\n\n

      Las campa\u00f1as de malware como ClearFake<\/em> y ClickFix<\/em> demuestran la creciente sofisticaci\u00f3n de los ataques cibern\u00e9ticos dirigidos a plataformas populares como WordPress. A medida que los actores de amenazas contin\u00faan perfeccionando sus t\u00e9cnicas, es crucial que los administradores de sitios web tomen medidas proactivas para proteger sus sitios y a sus usuarios. Desde la revisi\u00f3n constante de los complementos instalados hasta la implementaci\u00f3n de autenticaci\u00f3n de dos factores, cada acci\u00f3n contribuye a reducir el riesgo de comprometer un sitio web.<\/p>\n\n\n\n

      La evoluci\u00f3n constante de estas amenazas subraya la importancia de mantenerse informado sobre las \u00faltimas tendencias en seguridad cibern\u00e9tica y adoptar las mejores pr\u00e1cticas para proteger los activos digitales. Los administradores de sitios web deben estar vigilantes y tomar las precauciones necesarias para defenderse de los ataques emergentes, ya que la seguridad de su sitio y la de sus usuarios depende de ello.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Los sitios de WordPress, plataforma que alberga millones de p\u00e1ginas<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2380,8288],"tags":[7297,1716,791,8570,8569,8564,8565,8567,187,6428,4870,8568,3056,188,191,6167,6497,17,8566,143],"class_list":["post-3285","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-noticias","category-wordpress","tag-administracion-de-sitios","tag-ataques-ciberneticos","tag-autenticacion-de-dos-factores","tag-banners-falsos","tag-binance-smart-chain","tag-clearfake","tag-clickfix","tag-complementos-maliciosos","tag-contrasenas","tag-credenciales-robadas","tag-fuerza-bruta","tag-godaddy","tag-javascript","tag-malware","tag-phishing","tag-powershell","tag-robo-de-informacion","tag-seguridad","tag-sucuri","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3285"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3285\/revisions"}],"predecessor-version":[{"id":3286,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3285\/revisions\/3286"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}