Más de 5.000 sitios web WordPress han sido infectados con un malware de minado de criptodivisas

Los investigadores de Sucuri descubrieron el mes pasado 5.480 sitios web WordPress infectados por un malware de minado de criptodivisas, el cual no solo introduce JavaScript para utilizar los recursos de los ordenadores de los visitantes (los usuarios de los navegadores web), sino también para registrar las pulsaciones de teclado de estos últimos.

Al parecer, este malware se trata de una combinación de Coinhive con un keylogger que fue distribuido mediante el dominio Cloudflare[.]solutions. Aunque puede levantar sospechas, en realidad no tiene ninguna vinculación con la firma de ciberseguridad Cloudfare, por lo que la utilización de un dominio con dicha marca podría ser un intento de engañar a posibles víctimas. Al principio el malware solo realizaba la función de minar criptodivisas, pero fue actualizado en noviembre para también registrar las pulsaciones del teclado. La última característica fue introducida con la intención de hacerse con la clave del administrador del sitio web WordPress y poder así acceder a datos más valiosos, como por ejemplo los que podrían encontrarse en una tienda electrónica.

El dominio Cloudflare[.]Solutions fue tumbado el 8 de diciembre de 2017, pero los cibercriminales se han movido para utilizar otros y seguir esparciendo el malware. Los dominios detectados son cdjs[.]online, registrado el 8 de diciembre; cdns[.]ws, registrado el 9 de diciembre; y msdns[.]online, registrado el 16 de diciembre. El malware es introducido en todos los casos mediante el fichero function.php perteneciente a los temas del CMS.

Los investigadores de Sucuri avisan que muchos mantenedores de sitios web WordPress no han tomado todas las medidas necesarias para obtener una protección plena, a veces incluso después de hacerlo contra Cloudflare[.]Solutions. Por otro lado, parece que los dominios que han sucedido al original están teniendo un impacto menor, aunque eso no tendría que invitar a bajar la guardia.

Como media de mitigación se recomienda eliminar la función add_js_scripts de todas las cláusulas de add_action que hagan mención a add_js_scripts, además de cambiar las contraseñas de los usuarios del CMS para así evitar en lo máximo posible el acceso por parte de los cibercriminales.

Recordamos que WordPress es el CMS que ha conquistado Internet, acaparando actualmente cerca del 30% de todos los sitios web en funcionamiento. Al ser un software muy utilizado, un malware que consiga tener un gran impacto podría terminar causando estragos incluso en el normal funcionamiento de Internet.