Investigadores de seguridad informaron haber descubierto un nuevo tipo de malware disfrazado de un complemento de WordPress, utilizado para controlar de forma remota un sitio comprometido mediante la creación de cuentas de administrador. Según el estudio realizado, dicho malware se trataría de un complemento de almacenamiento en caché que contiene numerosas funciones como, agregar filtros para evitar ser incluido en la lista de complementos activados, capacidades de modificación de archivos, entre otros.

Desde Wordfence confirmaron también, que el malware ofrece la posibilidad de activar y desactivar complementos arbitrarios en el sitio de forma remota y a su vez, crear cuentas de administrador fraudulentas bajo una cuenta de usuario super administrador con contraseña codificada y, siguiendo esa línea, una función llamada «_pln_cmd_hide» diseñada para eliminar dicha cuenta cuando ya no es necesaria.

Algunas de las otras funciones notables del malware, incluyen la capacidad de activar de forma remota varias funciones maliciosas, alterar publicaciones y contenido de páginas e inyectar enlaces o botones de spam, y hacer que los rastreadores de los motores de búsqueda indexen contenido dudoso para redirigir a los visitantes del sitio a sitios sospechosos.

Este conjunto de acciones permite que los atacantes obtengan todo lo necesario tanto para controlar remotamente el sitio web de la víctima como para monetizar a expensas de las propias clasificaciones SEO del sitio web y la privacidad del usuario.

Los investigadores revelaron también, que más de 17.000 sitios web de WordPress se vieron comprometidos en el mes de septiembre de 2023 y se estima que el número podría ir en aumento con el pasar de los meses. En ese contexto, al momento se desconoce la escala de los ataques y el vector inicial de intrusión utilizado para violar dichos sitios, pero se tiene claro que, la activación remota de los complementos, la creación-eliminación de usuarios administradores, como así también, el filtrado de contenido condicional, permiten que esta puerta trasera evite la detección fácil por parte del usuario sin experiencia, por lo cual, se recomienda estar sumamente alertas y tomar las medidas necesarias para proteger sus proyectos.

Fuente

https://thehackernews.com/2023/10/researchers-uncover-malware-posing-as.html