Los piratas informáticos están explotando versiones obsoletas de WordPress y complementos para alterar miles de sitios web en un intento de engañar a los visitantes para descargar e instalar malware, según los investigadores de seguridad.
La campaña de piratería sigue siendo «muy en vivo», dijo a TechCrunch Simon Wijckmans, fundador y CEO de Web Security Company C/Side, que descubrió los ataques, el martes.
El objetivo de los piratas informáticos es difundir malware capaz de robar contraseñas y otra información personal de los usuarios de Windows y Mac. Según C/Side, algunos de los sitios web pirateados se clasifican entre los sitios más populares en Internet.
«Este es un ataque generalizado y muy comercializado», Himanshu Anand, quien escribió sube los hallazgos de la empresale dijo a TechCrunch. Anand dijo que la campaña es un ataque de «spray and pay» que tiene como objetivo comprometer a cualquiera que visite estos sitios web en lugar de atacar a una persona o grupo específico de personas.
Cuando los sitios de WordPress pirateados se cargan en el navegador de un usuario, el contenido cambia rápidamente para mostrar una página de actualización de navegador de Chrome falso, solicitando la descarga del visitante del sitio web e instalar una actualización para ver el sitio web, encontraron los investigadores. Si un visitante acepta la actualización, el sitio web pirateado le pedirá al visitante que descargue un archivo malicioso específico disfrazado de actualización, dependiendo de si el visitante está en una PC de Windows o una Mac.
Wijckmans dijo que alertaron a Automattic, la compañía que desarrolla y distribuye WordPress, sobre la campaña de piratería y les enviaron la lista de dominios maliciosos, y que su contacto en la compañía reconoció la recepción de su correo electrónico.
Cuando TechCrunch fue contactado antes de la publicación, Megan Fox, una portavoz de Automattic, no hizo comentarios.
C/Side dijo que identificó más de 10,000 sitios web que parecen haber sido comprometidos como parte de esta campaña de piratería. Wijckmans dijo que la compañía detectó scripts maliciosos en varios dominios al rastrear Internet y realizar una búsqueda de DNS inversa, una técnica para encontrar dominios y sitios web asociados con una determinada dirección IP, que reveló más dominios alojando los scripts maliciosos.
TechCrunch no pudo confirmar la precisión de las cifras de C/Side, pero vimos un sitio web pirateado de WordPress que todavía mostraba el contenido malicioso el martes.
Desde WordPress hasta malware de infancia
Los dos tipos de malware que se están impulsando en los sitios web maliciosos se conocen como AMOS (o Atomic Stealer), que se dirige a los usuarios de MacOS; y Socgholish, que se dirige a los usuarios de Windows.
En mayo de 2023, la firma de ciberseguridad Sentinelone Publicado un informe en Amos, clasificando el malware como un infteadorun tipo de malware diseñado para infectar computadoras y robar tantos nombres de usuario y contraseñas, cookies de sesión, billeteras criptográficas y otros datos confidenciales que permiten a los piratas informáticos entrar en las cuentas de la víctima y robar su moneda digital. La firma de ciberseguridad Cyble informó En el momento en que había descubierto que los piratas informáticos vendían acceso al malware Amos en Telegram.
Patrick Wardle, experto en seguridad de MacOS y cofundador de Startup de ciberseguridad centrada en manzana Doubleule dijo a TechCrunch que Amos es «definitivamente el robador más prolífico en MacOS», y fue creado con el modelo de negocio de malware como servicio, lo que significa que los desarrolladores y propietarios del malware lo venden a los piratas informáticos que luego lo implementan.
Wardle también señaló que para que alguien instale con éxito en macOS el archivo malicioso que se encuentra por C/Side «El usuario todavía tiene que ejecutarlo manualmente y saltar a través de muchos aros para evitar la seguridad incorporada de Apple».
Si bien esta puede no ser la campaña de piratería más avanzada, dado que los piratas informáticos confían en sus objetivos para caer en la página de actualización falsa y luego instalar el malware, este es un buen recordatorio para actualizar su navegador Chrome a través de su función de actualización de software incorporada y para instalar solo aplicaciones confiables en sus dispositivos personales.
Se ha culpado al malware de robo de contraseñas y el robo de credenciales de algunos de los mayores hacks y violaciones de datos de la historia. En 2024, los piratas informáticos atacaron en masa las cuentas de los gigantes corporativos que organizaron sus datos confidenciales con copo de nieve gigante de la computación en la nube mediante el uso de contraseñas robadas de las computadoras de los empleados de los clientes de Snowflake.
