Descubren tres complementos de WordPress ocultando una puerta trasera

wordpress-plugin-backdoor

El tamaño masivo del ecosistema de complementos de WordPress está empezando a mostrar signos de podredumbre, ya que se ha informado de otro incidente que involucra la venta de plugins abandonados a nuevos autores que de inmediato agregan una puerta trasera al código original.

El equipo de seguridad de WordPress intervino y eliminó todos los complementos del Directorio oficial de complementos de WordPress. La firma de seguridad WordPress Wordfence descubrió las tres puertas traseras. Los detalles acerca de los tres complementos de backdoored están disponibles a continuación.

Nombre del complemento Instalaciones activas Puerta trasera agregada Llamadas a Eliminado por el equipo de WP
Página duplicada y publicación 50,000+ v2.1.0 (agosto de 2017) cloud-wp.org 14 de diciembre de 2017
No Seguir todos los enlaces externos 9,000+ v2.1.0 (abril de 2017) cloud.wpserve.org 19 de diciembre de 2017
WP Sin Enlaces Externos 30,000+ v4.2.1 (julio de 2017) w pconnect.org 22 de diciembre de 2017

Puerta trasera atada al mismo actor de amenaza

El código de puerta trasera en los tres complementos funciona de una manera muy similar llamando a un servidor remoto e insertando contenido y enlaces en los sitios afectados. Los expertos creen que el código de puerta trasera se usa para inyectar spam SEO oculto (enlaces encubiertos) en los sitios afectados que ayudan a mejorar la clasificación de otros sitios en los motores de búsqueda.

Los expertos en Wordfence creen que el mismo actor está detrás de los tres complementos. Basaron su conclusión en una serie de descubrimientos que hicieron mientras analizaban los complementos maliciosos y cómo operaban:

ⴲ El código de puerta trasera en el primer y tercer complemento llama a dos dominios diferentes alojados en la misma dirección IP
ⴲ La misma compañía ( Orb Online ) pagó por la adquisición del primer y segundo complemento.
ⴲ La solicitud de compra enviada por correo electrónico a los propietarios del segundo y tercer complemento usa una plantilla similar.
ⴲ Todos los complementos fueron comprados por usuarios recién creados de WordPress.org.
ⴲ El código de puerta trasera fue similar en los tres complementos.

Este tipo de incidente se está volviendo común

Esta no es la primera vez que Wordfence ha descubierto una operación masiva para comprar plugins de WordPress antiguos y agregar una puerta trasera para inyectar spam de SEO en sitios web que usaban los complementos afectados.

Anteriormente, Wordfence vinculó la compra y el código backdoor de varios complementos a un británico llamado Mason Soiza, al que Wordfence vinculó a puertas traseras en complementos como Captcha (+300,000 instalaciones) , Display Widgets (+200,000 instalaciones) y 404 a 301 (70,000 instala) .

La firma de seguridad de WhitePress White Fir Design recientemente señaló que estos complementos a menudo permanecen en sitios infectados durante años. Por ejemplo, tres años después , todavía hay cientos de sitios de WordPress (probablemente abandonados) que ejecutan uno de los 14 complementos que también presentan una puerta trasera de inyección de spam SEO similar.

Fuente: bleepingcomputer

Anuncios


Categorías:Seguridad Informática y de la Información

Etiquetas:, ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: