El sistema de gestión de contenidos WordPress, utilizado en millones de páginas web y sitios de comercio electrónico de todo el mundo, no está exento de riesgos.
Muchos de ellos están aparejados a los plugins, esos complementos que los administradores de las páginas pueden incorporar para dotarlos de ciertos añadidos o herramientas concretas. Los hackers se sirven de ellos para encontrar posibles agujeros.
Cazadores de amenazas han descubierto la existencia de un plugin de WordPress fraudulento que es capaz de crear administradores falsos e inyectar código JavaScript malicioso, llegando a robar la información de tarjetas de crédito.
Según apunta Sucuri, esta actividad de lectura formaría parte de una campaña de Magecart dirigida a webs de ecommerce. Magecart es el nombre colectivo de un conjunto de al menos siete grupos de cibercriminales que está detrás de muchos de los ataques de web skimming. Sus actividades comenzaron en 2015 y desde entonces han comprometido decenas de miles de ecommerce.
En octubre se conocía la existencia de una campaña que modificaba las páginas de error 404 para hacerse con las tarjetas de crédito de los compradores. Akamai comentaba entonces que los objetivos eran sitios web de Magento y WooCommerce.
"Como ocurre con muchos otros complementos de WordPress maliciosos o falsos, contiene información engañosa en la parte superior del archivo para darle una apariencia de legitimidad", explica el investigador de seguridad Ben Martin . "En este caso, los comentarios afirman que el código se encuentra en 'Plugins de caché de WordPress'", añade.
Cómo se 'cuela' el malware
Según recuerda The Hacker News, los plugins maliciosos suelen colarse en los sitios de WordPress mediante un usuario administrador comprometido o a través de la explotación de brechas de seguridad en otro plugin previamente instalado en el sitio.
Tras su instalación el complemento se replicaría en el directorio mu-plugins (es decir, de plugins de uso obliigatorio) para que sea habilitado automáticamente y oculte su presencia en el panel de administración.
"Dado que la única forma de suprimir cualquiera de los complementos mu es eliminando manualmente el archivo, el malware hace todo lo posible para evitarlo", comenta Martin. "El malware logra esto anulando el registro de funciones de devolución de llamadas", concluye.