Utilizan sitios web de WordPress para distribuir un ransomware TESLACRYPT

Utilizan sitios web de WordPress para distribuir un ransomware TESLACRYPT

Hace varios días los investigadores de Sucuri advirtieron de una campaña se estaba llevando a cabo para comprometer la seguridad de sitios web que hacían uso de este CMS y así conseguir distribuir una puerta trasera. Sin embargo, parece qyue las tornas han cambiado y las páginas que utilizan WordPress y han sido hackeadas se están utilizando para distribuir un ransomware de la familia TESLACRYPT

Con anterioridad se hacía uso de la amenaza Andromeda para infectar los equipos. Sin embargo, debido a la baja tasa de infección mostrada estos han cambiado de idea y han pasado a utilizar una nueva variante de TeslaCrypt que en la actualidad posee una tasa de detección muy baja según VirusTotal. Otros expertos en seguridad añaden que el número de dominios que en la actualidad se encuentran afectados por esta práctica asciende a más de un centenar y creen que durante las próximos días seguirá creciendo.

Cuando sucede esto, las miradas se centran en los administradores de estos sitios ya que la mayoría de las ocasiones en las que aparecen problemas similares todo está justificado por una configuración de seguridad deficiente que ha permitido a los ciberdelincuentes conseguir el acceso al panel de control del sitio web.

Pero en esta ocasión los administradores no tienen la culpa de nada y los propios expertos en seguridad han catalogado de extraña la forma de actuar de los ciberdelincuentes en lo referido a cómo están distribuyendo la amenaza.

teslacrypt distribuido a través de blogs de wordpress

Todo parece indicar que el código JavaScript que provoca la descarga del instalador del ransomware se inyecta en la página como si de un iFrame se tratara. Pero lo más curioso de todo es que los ciberdelincuentes han conseguido que el código se replique en todos los sitios web que están alojados en el mismo servidor. Esto se ve traducido en que si procedemos a la eliminación de este código y si otro sitio web lo posee es probable que en unas horas el nuestro esté de nuevo infectado.

La variante de TeslaCrypt distribuida en WordPress posee el mismo funcionamiento que otras
El motivo que haya llevado a los ciberdelincuentes a cambiar Andromeda por una variante de este ransomware es muy sencilla: la primera la detectan todas las herramientas de seguridad, y hoy en día utilizar la segunda es sinónimo de victoria al menos de forma temporal.

El funcionamiento de la amenaza es el mismo que hemos podido ver hasta el momento en otras. En primer lugar se produce el cifrado de los archivos, después se crea un documento de texto en el que se explica lo que ha sucedido. Sin embargo, la novedad podría decirse que es que determinadas aplicaciones dejan de funcionar, como por ejemplo los navegadores web.

– Ver informacion original al respecto en Fuente: http://www.redeszone.net/2016/02/07/utilizan-sitios-web-de-wordpress