Una nueva campaña de malware ha sido descubierta, la cual está infectando a sitios web con WordPress, instalando un KeyLogger, que además está siendo aprovechado para minar bitcoins.
WordPress es un sistema de gestión de contenidos (CMS) enfocado a la creación de blogs, desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tenía sospechas de que esta nueva campaña podría estar ligada a la que sufrió este CMS en diciembre de 2017, en la cual fueron afectados unos 5.500 sitios web. El motivo fue debido a dos ataques realizados en los que se utilizó este keylogger. Un malware llamado “cloudflare[.]solutions”, aunque habría que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.
El nombre de este malware es debido a que los scripts que utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos nombres registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.
El ataque se realiza en sitios WordPress con una seguridad débil, por medio de la inyección de scripts en base de datos (en tabla “wp_posts”) o en el archivo “functions.php”, característicos de esta plataforma.
Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas “functions.php”, revisar las tablas “wp_posts” de la base de datos y cambiar las contraseñas.
* Sucuri Blog
https://blog.sucuri.net/2018/01/cloudflare-solutions-keylogger-returns-on-new-domains.html
* Threatpost
https://threatpost.com/keylogger-campaign-returns-infecting-2000-wordpress-sites/129676/