Ya ha trascendido en la web y en todos los blogs relacionados a tecnología sobre el más reciente ataque a WordPress generado desde Rusia y que ha afectado a alrededor de 100 000 páginas web hechas en Wp.
Otro ataque contra el famoso CMS ha puesto alerta a muchos usuarios. Según lo que se sabe de este ataque es que se genera a través de la vulnerabilidad de un plugin llamado RevSlider que es común que venga en algunos temas premium. Lo más perjudicial de esta infección es que puede alcanzar a todo el servidor del sitio web vulnerado.
Sucuri a través de su blog nos ha dado mayores alcances y lo compartimos para entender mejor al llamado soak soak.
El punto de penetración se da a través de la vulnerabilidad del plugin RevSlider abriendo puertas traseras e infectando a todo el servidor donde se encuentra alojado ese sitio. Esto quiere decir que incluso sitios que no usen este plugin pueden ser afectados.
Los hackers añaden un código encriptado que carga un script malicioso hxxp: // soaksoak . ru / xteas / código
Luego en el archivo wp-includes / plantilla loader.php se hace que se cargue en todas las páginas. Para ello utiliza el sitio soaksoak.ru desde donde se carga el malware.
Sucuri ha observado sin embargo variaciones de la infección. En lugar de utilizar el sitio soaksoak.ru el archivo swfobject.js crea objetos en flash real.
Obviamente no es parte del núcleo de WordPress y tampoco es detectado por antivirus. Una vez decompilado el archivo se encuentra una función que ejecuta algo de Javascript que se confunde o disfraza sólo en IE 11 y Firefox según Sucuri. Esto puede verse así.
Google ha puesto ya en lista negra al sitio soaksoak.ru, pero al parecer no lo ha hecho con milaprostaya.ru otro sitio que inyecta un iframe invisible exactamente desde » hxxp: // milaprostaya. ru / images / »
¿Cuál es la diferencia de estos sitios?
Según Sucuri
soaksoak.ru el dominio fue registrado el 28 de octubre de este año y alojado en un servidor dedicado de OVH
Milaprostaya.ru este es un sitio hackeado en un servidor compartido infectado por el malware soaksoak de la forma que hemos descrito líneas arriba.
Datos adicionales finales.
También se ha visto que es posible que utilice 3 archivos que son:
– template-loader.php
– swfobject.js
– swfobjct.swf
Sin contar las vulnerabilidades propias del RevSlider y que están dirigidas a navegadores Firefox e IE11 por lo que debe asegurarse de tener todos los parches de seguridad si usa alguno de estos navegadores.
Una última recomendación que hace Sucuri es que los Webmasters de sitios web afectados por el malware, deben limpiar los tres archivos anteriormente mencionados (swfobjct.swf debe eliminarse), encontrar y eliminar todas las backdooors, y actualizar el plugin RevSlider (que puede ser una parte del tema y otros plugins).
Existen la suficiente cantidad de post relacionados a esta noticia y es necesario difundir para evitar pasar por alto la actualización de este plugin RevSlider y que lo sitios de WordPress estén más seguros. Así que si has llegado hasta este post, no dudes en compartirlo para su difusión. Aún existen quienes no están enterados.