Los analistas de seguridad de Interner se han percatado de la existencia de un crecimiento de las infecciones de puerta trasera en algunas páginas web realizadas con Wordpress, las cuales estarían alojadas en el servicio administrado por la compañía GoDaddy, todos ellos con un backdoor idéntico de carga trasera.
Muchos resellers que ofrecen los servicios de alojamiento de GoDaddy habrían sufrido el problema de lleno. Hablamos de compañías como MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet y Host Europe (la antigua Red Coruña).
El equipo de Wordfence ha sido, en esta ocasión, quien ha realizado el hallazgo. Según observaron, la actividad maliciosa se inició el pasado día 11 de marzo, con 298 páginas web infectadas por la puerta trasera en tan solo 24 horas. 281 de ellos tenían alojamiento en GoDaddy.
Esta vez La puerta trasera que infecta todos los sitios es una herramienta de envenenamiento de SEO para búsqueda de Google de 2015 implantada en wp-config.php con el fin de obtener plantillas de enlaces de spam del C2 que utilizadas para inyectar páginas maliciosas en los resultados de búsqueda.
La campaña usa predominantemente plantillas de spam farmacéuticas, que son mostradas a los visitantes de sitios web comprometidos en lugar de las reales.
Se supone que el objetivo de dichas plantillas sería incitar a las víctimas a realizar adquisiciones de productos falsos, lo que les ocasionaría una pérdida de dinero y les pondría en una bandeja de plata a los ciberdelincuentes sus detalles de pago.
Además, los atacantes tienen la potestad de hacer las modificaciones que deseen pudiendo dañar la reputación de un sitio al alterar su contenido. No obstante, este no parece el leitmotiv de los actores de amenazas en esta ocasión.
Este ataque sería más difícil de detectar y parar por parte de los usuarios, ya que no ocurre en el navegador sino en el servidor. Así, las herramientas locales de ciberseguridad no encontrarán nada que les resulte sospechoso.
¿Es la brecha de noviembre el origen?
GoDaddy ha reconocido una violación de datos que se produjo en noviembre de 2021, la cual llegó a afectar a 1,2 millones de clientes y varios revendedores de servicios de WordPress administrado, incluidos los seis mencionados en la introducción.
Esa infracción involucró el acceso no autorizado al sistema que aprovisiona los sitios de WordPress administrados de la empresa. Como tal, no sería descabellado sugerir que que los dos sucesos podrían estar vinculados de alguna manera.
No obstante, si tu web está alojada en un Wordpress administrado por GoDaddy no estaría de más que escanees tu archivo archivo wp-config.php para localizar posibles inyecciones de back-door.