Un ataque cibernético en auge
Recientes investigaciones han revelado una alarmante campaña de hacking que está comprometiendo miles de sitios web basados en WordPress. Los hackers están utilizando versiones desactualizadas de WordPress y sus plugins para alterar el contenido de estos sitios, con el objetivo de engañar a los visitantes y hacer que descarguen malware. Simon Wijckmans, fundador y CEO de la empresa de seguridad web c/side, confirmó que esta campaña sigue activa y representa una amenaza significativa para los usuarios de internet.
El modus operandi de los atacantes
El objetivo principal de los hackers es propagar malware que puede robar contraseñas y otra información personal tanto de usuarios de Windows como de Mac. Según c/side, algunos de los sitios afectados se encuentran entre los más populares de la red. Himanshu Anand, quien documentó los hallazgos de la empresa, describió la campaña como un ataque de «spray and pay», lo que significa que busca comprometer a cualquier persona que visite estos sitios, en lugar de dirigirse a un individuo o grupo específico.
Cómo se lleva a cabo el engaño
Cuando un usuario accede a un sitio de WordPress comprometido, el contenido se transforma rápidamente para mostrar una página falsa de actualización del navegador Chrome. Esta página solicita al visitante que descargue e instale una actualización para poder acceder al contenido del sitio. Si el usuario acepta, se le pedirá que descargue un archivo malicioso disfrazado de actualización, dependiendo de si está utilizando un PC con Windows o un Mac.
La respuesta de la industria
Wijckmans informó que alertaron a Automattic, la empresa detrás de WordPress, sobre la campaña de hacking y les proporcionaron una lista de dominios maliciosos. Aunque la portavoz de Automattic, Megan Fox, no ofreció comentarios al respecto, c/side ha identificado más de 10,000 sitios web que parecen haber sido comprometidos. Utilizando técnicas de búsqueda en la web y análisis de DNS inverso, la empresa pudo detectar scripts maliciosos en varios dominios.
Tipos de malware involucrados
Los dos tipos de malware que se están distribuyendo a través de estos sitios son Amos, que se dirige a usuarios de macOS, y SocGholish, que apunta a usuarios de Windows. Patrick Wardle, experto en seguridad de macOS, destacó que Amos es el ladrón de información más prolífico en esta plataforma. Este malware se ofrece como un servicio, lo que significa que los desarrolladores lo venden a hackers que luego lo implementan en sus ataques.
Consejos de seguridad para los usuarios
A pesar de que esta campaña no es la más sofisticada, es un recordatorio importante para los usuarios sobre la necesidad de actualizar sus navegadores a través de las funciones de actualización de software incorporadas y de instalar solo aplicaciones de fuentes confiables. El robo de contraseñas y credenciales ha sido responsable de algunos de los hackeos y filtraciones de datos más grandes de la historia, lo que subraya la importancia de mantener una buena higiene digital.
