Complementos maliciosos encontrados en más de 25.000 sitios web de WordPress

Investigadores del Instituto de Tecnología de Georgia han identificado complementos maliciosos en miles de sitios web de WordPress. Un análisis de las copias de seguridad de más de 400.000 servidores web únicos ha revelado la existencia de más de 47.000 complementos maliciosos instalados en casi 25.000 sitios web únicos de WordPress. Más del 94 % […]

Investigadores del Instituto de Tecnología de Georgia han identificado complementos maliciosos en miles de sitios web de WordPress.

Un análisis de las copias de seguridad de más de 400.000 servidores web únicos ha revelado la existencia de más de 47.000 complementos maliciosos instalados en casi 25.000 sitios web únicos de WordPress. Más del 94 % de estos complementos continúan en uso en la actualidad.

Más de 3.600 de los complementos maliciosos identificados se compraron en mercados legítimos como CodeCanyon, Easy Digital Downloads y ThemeForest.

El conjunto de datos utilizado para la investigación abarcó un período de ocho años, entre julio de 2012 y julio de 2020, y reveló un aumento constante en la cantidad de complementos maliciosos instalados.

La actividad alcanzó su punto máximo en marzo de 2020.

Según los investigadores, los adversarios compran el código base de complementos gratuitos populares y luego agregan código malicioso y esperan a que los usuarios apliquen actualizaciones automáticas. También se observó a los atacantes haciéndose pasar por autores de complementos benignos para distribuir malware a través de complementos pirateados.

“Si bien los propietarios del sitio web confiaron en el ecosistema de complementos y gastaron un total de $ 7.3 millones solo en los complementos en nuestro conjunto de datos, descubrimos que esta confianza a menudo se rompe por las ganancias monetarias de los atacantes”, dicen los académicos.

Para su análisis, los investigadores crearon un marco automatizado para la detección y el seguimiento de complementos maliciosos, llamado YODA, que se implementó en el conjunto de datos de 400.000 servidores web pertenecientes a clientes del proveedor de copias de seguridad de sitios web CodeGuard.

De los complementos maliciosos identificados, más de 10.000 usaron webshells y ofuscación de código. Los investigadores también identificaron casos de infección de complemento a complemento, donde un complemento malicioso infecta otros complementos en el mismo servidor web, replicando su comportamiento.

En general, más de 40.000 instancias de complementos se infectaron después de la implementación. En muchos casos, los atacantes abusaron de la infraestructura para inyectar complementos maliciosos en los sitios web y luego intentaron mantener el acceso a los servidores web.

Algunos de los comportamientos de los complementos maliciosos identificados fueron populares a fines de 2012, mientras que otros se introdujeron más recientemente. Sin embargo, independientemente de la edad, los comportamientos siguen siendo frecuentes en los complementos maliciosos actuales.

Los investigadores también descubrieron más de 6.000 complementos que se hacían pasar por complementos benignos disponibles a través de mercados legítimos, al tiempo que ofrecían una opción de prueba a los propietarios de sitios web, algo que normalmente no está disponible en la mayoría de los mercados de complementos pagos.