Campaña de hacking compromete miles de sitios de WordPress

Un Alerta Global: La Amenaza de los Hackers en WordPress

La seguridad en la red ha sido un tema candente en los últimos años, y las últimas investigaciones han sacado a la luz una campaña de hacking que ha dejado a miles de sitios web vulnerables. Esta situación no solo afecta a los propietarios de los sitios, sino que también pone en peligro la información personal de los millones de usuarios que los visitan. La compañía de seguridad c/side ha revelado que hackers están utilizando versiones desactualizadas de WordPress y sus plugins para modificar miles de sitios con el objetivo de engañar a los visitantes y hacer que descarguen malware.

El alcance de esta amenaza es preocupante y requiere una atención urgente.

Los investigadores han encontrado que esta campaña de hacking está “muy activa”, como lo indicó Simon Wijckmans, fundador y CEO de c/side. El objetivo de estos hackers es propagar malware diseñado para robar contraseñas y otra información personal de los usuarios tanto de Windows como de Mac. Entre los sitios comprometidos, algunos están clasificados como los más populares de Internet, lo que agrava aún más la situación.

Un Ataque Comercializado

La estrategia detrás de este ataque es una técnica conocida como “spray and pay”, según Himanshu Anand, uno de los investigadores que ha documentado esta campaña. Esto significa que los hackers no están apuntando a un grupo específico de personas, sino que buscan comprometer a cualquier visitante que acceda a estos sitios web. Esto hace que la amenaza sea aún más difusa y difícil de combatir, ya que los usuarios no saben que están en riesgo al visitar un sitio aparentemente seguro.

La posibilidad de que cualquiera se convierta en víctima de este ataque es alarmante.

Cuando un sitio web de WordPress comprometido se carga en el navegador de un usuario, su contenido se modifica rápidamente para mostrar una página falsa de actualización de Chrome. Esta página engañosa solicita al visitante que descargue e instale una actualización para poder ver el contenido del sitio. Si el visitante acepta, se le dirige a un archivo malicioso que se presenta como la actualización, dependiendo de si está utilizando un PC con Windows o un Mac.

La Respuesta de Automattic

c/side ha tomado medidas para alertar a Automattic, la empresa detrás de WordPress, sobre esta campaña de hacking. Wijckmans envió una lista de dominios maliciosos a la compañía, y recibió confirmación de que su correo había sido recibido. Sin embargo, hasta el momento, Automattic no ha hecho comentarios públicos sobre la situación, lo que deja a muchos en la comunidad de usuarios de WordPress preocupados por la falta de acción.

La inacción de las plataformas puede resultar en una crisis de seguridad que afecte a miles de usuarios.

En total, c/side ha identificado más de 10,000 sitios web que parecen haber sido comprometidos. Utilizando técnicas de rastreo de internet y búsquedas de DNS inversas, lograron encontrar dominios asociados a ciertas direcciones IP que albergaban los scripts maliciosos. A pesar de que no se ha podido verificar de manera independiente la precisión de estas cifras, se ha observado que algunos de estos sitios aún exhiben contenido malicioso.

Tipos de Malware en Juego

Los dos tipos de malware que están siendo distribuidos a través de estos sitios son Amos (o Amos Atomic Stealer), que está diseñado para infectar a los usuarios de macOS, y SocGholish, que está orientado a los usuarios de Windows. En un informe publicado en mayo de 2023, la firma de ciberseguridad SentinelOne clasificó a Amos como un infostealer, un tipo de malware que roba información sensible, como nombres de usuario, contraseñas, cookies de sesión y billeteras de criptomonedas.

La proliferación de este tipo de malware pone en riesgo la seguridad de la información personal en un nivel alarmante.

Patrick Wardle, un experto en seguridad de macOS y cofundador de una startup de ciberseguridad enfocada en Apple, ha señalado que Amos es “definitivamente el ladrón más prolífico en macOS”. Este malware ha sido desarrollado bajo un modelo de negocio de malware como servicio, lo que significa que los desarrolladores y propietarios del malware lo venden a hackers que luego lo implementan en sus ataques.

La Instalación del Malware: Un Proceso Manual

Aunque la amenaza de Amos es seria, Wardle ha señalado que para que un usuario de macOS instale el archivo malicioso, debe ejecutar el archivo manualmente y superar varias barreras para eludir la seguridad integrada de Apple. Esto implica que, aunque el malware es efectivo, su instalación no es automática, lo que ofrece un rayo de esperanza para los usuarios más informados sobre la seguridad de sus dispositivos.

Es crucial que los usuarios mantengan su software actualizado y eviten descargar aplicaciones de fuentes no confiables.

A pesar de que esta campaña de hacking no es la más sofisticada en términos técnicos, el hecho de que los hackers dependan de que sus víctimas caigan en la trampa de la página de actualización falsa destaca la importancia de ser cauteloso en línea. Los usuarios deben recordar siempre actualizar sus navegadores a través de la función de actualización de software integrada y ser escépticos ante cualquier solicitud de descarga de software que no provenga de fuentes verificadas.

Consecuencias de los Robos de Contraseñas

Los robos de contraseñas y las filtraciones de credenciales han sido responsables de algunos de los hackeos y brechas de datos más significativos en la historia reciente. En 2024, un grupo de hackers realizó una serie de ataques masivos a las cuentas de grandes corporaciones que almacenaban datos sensibles en la nube, utilizando contraseñas robadas de los ordenadores de los empleados de los clientes de la empresa de computación en la nube Snowflake.

Este tipo de incidentes subraya la importancia de mantener prácticas de seguridad robustas y de estar alerta ante posibles amenazas.

La ciberseguridad se ha convertido en una prioridad no solo para las empresas, sino también para los individuos que utilizan la tecnología en su vida diaria. La concienciación sobre los riesgos y las mejores prácticas para protegerse contra el malware son esenciales para minimizar las amenazas que se presentan en el entorno digital actual.

La situación actual con el hacking de WordPress es un recordatorio claro de que la seguridad en línea es una responsabilidad compartida entre desarrolladores, empresas y usuarios. Con la proliferación de ataques como estos, es más importante que nunca mantenerse informado y ser proactivo en la protección de la información personal.