Wordpress Hackeados Distribuyen Keylogger

Los complementos han representado siempre un inconveniente para los sitios web que se gestionan mediante este CMS. Hace pocos meses, fue encontrada una gran cantidad de sitios web de WordPress que contenían un malware de minería de criptomonedas.

Ahora, todo parece indicar que este malware ha mutado y se ha transformado en un Keylogger que recopila información que los visitantes de estos sitios web introducen en la misma. El origen de esta amenaza se dio en abril de este año, cuando expertos en seguridad informática de Sucuri descubrieron cerca de 5.500 sitios web que usaban este CMS plagados de malware que llevaba a cabo actividades de minería de criptomonedas.

Desde ese momento, la amenaza ha sido modificada, sobre todo en lo que tiene que ver con el comportamiento. Antes, utilizaba los archivos functions.php de WordPress para ejecutar peticiones contra una falsa dirección de Cloudflare con el fin de establecer un WebScoket impulsado por una librería.

Cuando los expertos analizaron inicialmente la amenaza, el mensaje que se mostraba para acceder al falso dominio de Cloudflare era “This Server is part of Cloudflare Distribution Network. A pesar de ello, el mensaje ha cambiado, y lo que ahora se lee es “This Server es part of an experimental Science machine learning algorithms project”.

A diferencia de abril, la totalidad de espacios para insertar texto en la web se han modificado. Se les ha incorporado un manejador que envía los datos introducidos a la dirección wws://cloudflare.solutions:8085. Este keylogger puede robar las credenciales de acceso a los perfiles de los usuarios del servicio web como incluso del propio WordPress. En este sentido, la gestión del CMS también está comprometida.

Si eres un usuario de WordPress cuyo sitio web está afectado, debes ubicar el archivo functions.php y buscar en él la función add_js_scripts, y luego borrarla. Luego, debes encontrar todas las sentencias donde se mencione la función eliminada y borrarlas. De otra forma, no se cargarán correctamente los elementos de CMS. Posteriormente, cambia todas tus credenciales de acceso.