Temas modificados para WordPress distribuyen malware

WordPress extensiones falsas

Se trata de una práctica bastante habitual, sobre todo ahora que la optimización para los buscadores resulta tan relevante. Son muchos los complementos existentes, aunque muchos de ellos son de pago. Por este motivo, los usuarios tienden a decantarse por las soluciones gratuitas, algo que no siempre es una buena idea. Sobre todo, si hablamos de WordPress.

Este CMS ha sido uno de los servicios que ha permitido crear páginas web en muy poco tiempo, sin escatimar en detalles. A la hora de utilizar complementos es uno de los mejores donde más alternativas existen. Es decir, cuota de mercado añadido a muchos complementos y con finalidad muy diferente conforman el escenario ideal para que los ciberdelincuentes puedan llevar a cabo un ataque. En este caso, softwares falsos con la única finalidad de distribuir malware entre los usuarios.

Incluso muchas plantillas de pago son objetivo de los ciberdelincuentes: las modifican introduciendo el código deseado, que en muchos casos realiza la descarga de virus informáticos.

¿Cómo se lleva a cabo la distribución de esta “amenaza” en los sitios WordPress?
Podría decirse que todo tiene como origen la página web http://downloadfreethemes.download. donde podemos encontrar más de 32.000 temas que se han sido hackeados y puestos a disposición del usuario, pero en esta ocasión de forma gratuita.

Sin ir más lejos, el propietario de esta primera página también lo es de otras, como las siguientes:

24x7themes.top
Dlword.press
Freenulled.top
Freethemes.space
Null5.topThemesdad.com
Wpmania.download

La única diferencia es la apariencia del sitio web. Cualquier estrategia es buena en lo que se refiere a SEO si quieres que tu página con contenido malware sea de las primeras en aparecer en la búsqueda. Cuanto mejor sea el posicionamiento mayor será el número de usuarios infectados.

Instalación del tema infectado con código malware

Después de echar un pequeño vistazo a lo que se puede considerar el “modus operandi” de los ciberdelincuentes, llega el momento de saber qué es lo que sucede al hacer uso de este tema.

Expertos en seguridad han determinado que en muchos temas se ha añadido un código cifrado, accesible desde cualquier módulo. Este permite la descarga de un código adicional que se almacena en la ubicación wp-includes/wptmp.php. Este código se carga utilizando las funciones del fichero functions.php. Una vez cargado, el código de la carpeta temporal desaparece.

Expertos en seguridad han analizado este código, visualizando que, a priori, se utiliza para realizar la carga no autorizada de anuncios en el sitio web en el que se está utilizando el tema modificado.

Desde GData han tratado de tirar del hilo aún más. Finalmente han encontrado unas páginas PHP que a priori pertenecen a una tienda de zapatos. Para ser más precisos, se trata de un formulario para introducir los datos relacionados con el pago utilizando una tarjeta de crédito. Sin embargo, esto no es así. Todo apunta a que nos encontramos ante un formulario genérico utilizado por los ciberdelincuentes para llevar a cabo la recopilación de los datos de los usuarios.

Se trata de una práctica cada vez más común. Después de ver esto, seguramente te lo pienses un poco más antes de descargar un tema gratuito que en tiendas oficiales de WordPress es de pago.

Ver información original al respecto en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies