Una nueva campaña de malware ha sido descubierta, la cual está infectando a sitios web con Wordpres instalando un KeyLogger que además está siendo aprovechado para minar bitcoins.

 
WordPress es un sistema de gestión de contenidos (CMS) enfocado a la creación de blogs, desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

 

El malware ha sido descubierto por el investigador de seguridad de Sucuri, Denis Sinegubko, el cual tiene sospechas que esta nueva campaña pueda estar ligada a la campaña que sufrió este CMS en diciembre de 2017, en la cual se afectó a unos 5500 sitios web. El motivo de esta sospecha es debido a que en los dos ataque realizados se utilizó este kyelogger de criptomoneda como método de ataque, un malware llamado “cloudflare[.]solutions”, aunque hay que aclarar que este malware no tiene nada que ver con la empresa Cloudflare.

El nombre de este malware es debido a que los scripts utilizados utilizaban los recursos de este dominio, actualmente inactivo, aunque esta nueva versión ya tiene nuevos dominios registrados como cdjs[.]online, cdns[.]ws y msdns[.]online.

El ataque se realiza en sitios WordPress con una seguridad débil, por medio de la injección de scripts en base de datos (en tabla “wp_posts”) o en el archivo “functions.php”.

Como medida de limpieza, se recomienda eliminar el código malicioso de los ficheros de temas “functions.php”, revisar las tablas “wp_posts” y cambiar todas las contraseñas del sitio web.

* Sucuri Blog
https://blog.sucuri.net/2018/01/cloudflare-solutions-keylogger-returns-on-new-domains.html

* Threatpost
https://threatpost.com/keylogger-campaign-returns-infecting-2000-wordpress-sites/129676/