Nuevo ataque permite cambiar títulos en sitios WordPress

Una nueva campaña de ataque hacia sitios en WordPress fue descubierta por un investigador de seguridad a mediados de junio, el ataque consistía en agregar palabras clave a los títulos. “1800ForBail” o “1800ForBail – One + Number” fue la palabra clave que agregaron los atacantes a los cientos de sitios comprometidos. La mayoría de los […]

Una nueva campaña de ataque hacia sitios en WordPress fue descubierta por un investigador de seguridad a mediados de junio, el ataque consistía en agregar palabras clave a los títulos.

“1800ForBail” o “1800ForBail – One + Number” fue la palabra clave que agregaron los atacantes a los cientos de sitios comprometidos. La mayoría de los sitios seleccionados en esta campaña se pusieron en peligro después del 12 de junio de 2019. El truco detrás de esta campaña fue cambiar la configuración de “nombre de blog” en WordPress para modificar los títulos.

Según el análisis del investigador, una búsqueda en Google de la consulta “1800ForBail” obtuvo más de 158,000 resultados. La memoria caché de Google indicó que la mayoría de estos sitios se vieron comprometidos después del 12 de junio de 2019.

Se informó que los atacantes explotaron ampliamente las vulnerabilidades en varios complementos de WordPress que les permitirían cargar código malicioso en sitios específicos.

Las versiones anteriores de complementos como WordPress GDPR Compliance, TagDiv themes, Freemius Library y Convert Plus, entre otros, fueron explotados. También se cree que la campaña “1800ForBail” es parte de una campaña a gran escala, que apunta a explotar las fallas recientemente encontradas en WordPress.

Sucuri observó que la campaña tuvo dos ataques activos en la fabricación, ”estos parecen ser dos ataques separados. Uno de ellos (siteurl / home) redirige a los visitantes a sitios de estafa (soporte técnico y estafas de notificaciones automáticas), mientras que el otro cambia los títulos del blog: una técnica de SEO (posicionamiento web) de sombrero negro que se utiliza para ganar más visibilidad para la marca del “servicio de libertad bajo fianza”.

En cuanto a las mitigaciones, se recomienda a los propietarios de sitios de WordPress afectados en esta campaña que actualicen todos sus complementos y templates, así como que cambien la opción “nombre de blog” para evitar que se vuelvan a infectar.