Los hackers están explotando versiones desactualizadas de WordPress y complementos para alterar miles de sitios web en un intento de engañar a los visitantes para que descarguen e instalen malware, encontraron investigadores de seguridad.
La campaña de piratería todavía está «muy activa», dijo Simon Wijckmans, fundador y CEO de la empresa de seguridad web c/side, que descubrió los ataques, a TechCrunch el martes.
El objetivo de los hackers es propagar malware capaz de robar contraseñas y otra información personal tanto de usuarios de Windows como de Mac. Algunos de los sitios web hackeados están entre los más populares de Internet, según c/side.
«Se trata de un ataque generalizado y muy comercializado», dijo Himanshu Anand, quien redactó los hallazgos de la empresa, a TechCrunch. Anand dijo que la campaña es un ataque de «rociar y rezar» que tiene como objetivo comprometer a cualquiera que visite estos sitios web en lugar de dirigirse a una persona o grupo específico.
Cuando los sitios de WordPress hackeados se cargan en el navegador de un usuario, el contenido cambia rápidamente para mostrar una falsa página de actualización del navegador Chrome, solicitando al visitante del sitio web que descargue e instale una actualización para ver el sitio web, encontraron los investigadores. Si un visitante acepta la actualización, el sitio web hackeado pedirá al visitante que descargue un archivo malicioso específico que se hace pasar por la actualización, dependiendo de si el visitante está en una PC con Windows o en un Mac.
Wijckmans dijo que alertaron a Automattic, la empresa que desarrolla y distribuye WordPress.com, sobre la campaña de piratería y les enviaron la lista de dominios maliciosos, y que su contacto en la empresa reconoció la recepción de su correo electrónico.
Cuando TechCrunch se puso en contacto con Megan Fox, portavoz de Automattic, antes de la publicación, no comentó en ese momento. Después de la publicación, Automattic dijo que la seguridad de los complementos de terceros es responsabilidad de los desarrolladores de complementos de WordPress.
La firma c/side dijo que identificó más de 10,000 sitios web que parecen haber sido comprometidos como parte de esta campaña de hacking. Wijckmans dijo que la empresa detectó scripts maliciosos en varios dominios rastreando Internet y realizando una búsqueda inversa de DNS, una técnica para encontrar dominios y sitios web asociados con una determinada dirección IP, que reveló más dominios que alojaban los scripts maliciosos.
Desde WordPress hasta el malware que roba información
Los dos tipos de malware que se están empujando en los sitios web maliciosos se conocen como Amos (o Amos Atomic Stealer), que apunta a los usuarios de macOS; y SocGholish, que apunta a los usuarios de Windows.
En mayo de 2023, la firma de ciberseguridad SentinelOne publicó un informe sobre Amos, clasificando el malware como un infostealer, un tipo de malware diseñado para infectar computadoras y robar nombres de usuario y contraseñas, cookies de sesión, billeteras de criptomonedas y otros datos sensibles que permiten a los hackers entrar en las cuentas de las víctimas y robar su moneda digital. La firma de ciberseguridad Cyble informó en ese momento que había descubierto que los hackers estaban vendiendo acceso al malware Amos en Telegram.
Patrick Wardle, un experto en seguridad de macOS y cofundador de la startup de ciberseguridad centrada en Apple DoubleYou, dijo a TechCrunch que Amos es «definitivamente el ladrón más prolífico en macOS» y fue creado con el modelo de negocio de malware como servicio, lo que significa que los desarrolladores y propietarios del malware lo venden a los hackers que luego lo despliegan.
Wardle también señaló que para que alguien pueda instalar con éxito en macOS el archivo malicioso encontrado por c/side «el usuario aún tiene que ejecutarlo manualmente y sortear muchos obstáculos para evitar la seguridad incorporada de Apple».
Si bien esta puede no ser la campaña de hacking más avanzada, dado que los hackers confían en que sus objetivos caigan en la página falsa de actualización y luego instalen el malware, este es un buen recordatorio para actualizar su navegador Chrome a través de su función de actualización de software incorporada e instalar solo aplicaciones confiables en sus dispositivos personales.
El malware que roba contraseñas y el robo de credenciales han sido culpados por algunos de los mayores hackeos y filtraciones de datos en la historia. En 2024, los piratas informáticos asaltaron masivamente las cuentas de gigantes corporativos que alojaron sus datos sensibles con la gigante de computación en la nube Snowflake utilizando contraseñas robadas de las computadoras de empleados de los clientes de Snowflake.
Esta historia se actualizó para incluir un comentario del portavoz de Automattic.
