El equipo de Inteligencia de Amenazas de Wordfence detectó una inyección de código malicioso en complementos de Wordpress.org. inicialmente en el complemento llamado Social Warfare, esto sucedió el 22 de junio pasado. Posteriormente efectuaron una revisión interna, detectando otros cuatro complementos comprometidos con código malicioso.
Detalle de los complementos afectados
Aviso a WordPress
Ilustración 1: Aviso a Wordpress
Fuente: Foro WordPress
Detección del ataque
Los atacantes intentaron infectar estos complementos para ejecutar scripts en los sitios web afectados creando puertas traseras y cuentas de administrador no autorizadas, las cuales fueron enviadas a su servidor de Comando y Control (C&C). El objetivo principal era obtener un control total sobre los sitios web comprometidos, permitiendo el robo de datos, inyectar malware adicional y la redirección de tráfico a sitios web maliciosos.
En la investigación efectuada se detectó que el código JavaScript malicioso no es muy sofisticado ni tampoco estaba bien ofuscado, lo cual permitió que fuera más fácil de rastrear.
Adicionalmente se conoce que se generaron determinados nombres de cuentas con privilegios: Options – PluginAuth.
Plugins Social Warfare en Latinoamérica
Efectuando una búsqueda en motores de detección de internet, fue posible detectar 10 complementos de Social Warfare en Latinoamérica, de estos 4 corresponden a Brasil, 4 a Venezuela, 1 en Colombia y 1 en Chile
Ilustración 2: Mapa Plugin Social Warfare en Latinoamérica
Fuente: Grupo CTI Entel Digita
Apreciación
Este incidente de seguridad que involucra el complemento Social Warfare y otros cuatro complementos de WordPress resalta serias vulnerabilidades en la seguridad de estos plugins. La inyección de código malicioso, que crea cuentas administrativas no autorizadas y añade spam SEO, muestra cómo incluso ataques simples pueden comprometer significativamente la integridad y la reputación de los sitios afectados. Aunque los complementos afectados fueron rápidamente eliminados de WordPress.org, es necesario el uso de herramientas de detección de malware para proteger los entornos de WordPress y mitigar riesgos futuros
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
Producto | Versión |
---|---|
Social Warfare |
4.4.6.4 - 4.4.7.1 |
Blaze Widget |
2.2.5 - 2.5.2 |
Wrapper Link Element |
1.0.2 - 1.0.3 |
Contact Form 7 Multi-Step Addon |
1.0.4 - 1.0.5 |
Simply Show Hooks |
1.2.1 |
Tipo | Indicador |
---|---|
ip | 94[.]156[.]79[.]8 |