Roban credenciales de sitios WordPress vulnerados

| 11 May, 2015 | Ciberamenazas | No hay comentarios

wordpress

Parece que las últimas semanas no están siendo especialmente buenas para WordPress, el popular gestor de contenidos (y, por ende, en el punto de mira de los atacantes). A la grave vulnerabilidad de tipo XSS descubierta hace unas semanas y a la de dos de los plugins más instalados se suma ahora una investigación que demuestra cómo se están robando las credenciales de acceso de sitios WordPress comprometidos.

Sitios comprometidos

Investigadores de Zscaler descubrieron recientemente una campaña de robo de credenciales en varias webs que usaban WordPress y que estaban infectadas. Cuando un usuario de ese blog introduce sus credenciales de acceso en ese sitio web infectado, estas son codificadas y enviadas como una petición GET a los delincuentes.

Los investigadores han descubierto hasta el momento un dominio que se encarga de recopilar todas las credenciales robadas de los sitios comprometidos. Existen varios sitios comprometidos, pertenecientes a usuarios de diferentes zonas del mundo, por lo que esta campaña delictiva no es selectiva y tiene como fin último hacerse con la mayor cantidad de credenciales posible.

Robo de credenciales

El robo de credenciales se produce cuando los usuarios intentan registrarse en uno de los sitios web comprometidos. Es en este punto cuando se les inyecta código JavaScript malicioso mientras aún se encuentran en la web de registro, tal y como se puede observar en la siguiente imagen:

wp_login1

Básicamente, lo que hace este código es interceptar los datos que introduce el usuario cuando se registra en el sitio web, codificarlos en Base64 y enviarlos a un dominio controlado por los delincuentes. Tal y como aparece en la siguiente imagen, el código está ofuscado y se activa cuando el usuario envías sus credenciales de acceso en la web de registro del sitio WordPress comprometido.

wp_login2

Conclusiones

La solución más obvia para evitar este tipo de ataques parecería ser tener el sitio WordPress actualizado a la última versión. Sin embargo, los investigadores han encontrado sitios comprometidos que tenían aplicadas todas las actualizaciones, algo que demostraría que esta inyección es persistente y podría seguir funcionando aun cuando hemos actualizado nuestro WordPress a la última versión disponible.

Por eso es necesario fortificar nuestro WordPress de manera que sea mucho más complicado para los atacantes inyectar código malicioso en él. Para eso, desde ESET España hemos preparado una útil guía de fortificación de sitios WordPress que se puede seguir para aumentar la seguridad de nuestro blog o web personal. Esperemos que sea útil y se eviten ataques similares en el futuro.

Créditos de la imagen: Phil Oakley / Source / CC BY-SA
Josep Albors

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..