Una nueva variante del infame ClearFake (también conocido como ClickFix) malware ha sido detectado en la naturaleza y ya ha logrado comprometer miles de sitios web de WordPress.
Los investigadores de GoDaddy afirman haber detectado una variante de esta campaña, que instala complementos maliciosos en sitios del creador de sitios web. Los actores de amenazas usarían las credenciales robadas en otro lugar (o compradas en el mercado negro) para iniciar sesión en la cuenta de administrador de WordPress del sitio web e instalar un complemento aparentemente benigno.
Luego, se incita a las víctimas a descargar una actualización, que es simplemente una pieza de malware que roba datos confidenciales o hace algo más, pero igualmente siniestro.
Miles de sitios web comprometidos
A su vez, el complemento muestra varias ventanas emergentes, solicitando a las víctimas que realicen diferentes acciones (todas las cuales conducen a la instalación de ladrones de información).
Todo el proceso está automatizado, dice GoDaddy, y hasta ahora más de 6.000 sitios web de WordPress han sido víctimas.
“Estos complementos aparentemente legítimos están diseñados para parecer inofensivos a los administradores de sitios web, pero contienen scripts maliciosos incrustados que envían mensajes falsos de actualización del navegador a los usuarios finales”, dicen los investigadores. Los complementos son “aparentemente legítimos” ya que llevan nombres conocidos en WordPress. mundo, como Wordfense Security o LiteSpeed Cache.
Aquí está la lista completa de los complementos detectados hasta ahora:
LiteSpeed caché clásico
MonsterInsights Clásico
Clásico de seguridad de Wordfence
Mejorador de clasificación de búsqueda
SEO Booster Pro
Potenciador de SEO de Google
Mejora de rango profesional
Personalizador de la barra de administración
Administrador de usuarios avanzado
Gestión avanzada de widgets
Bloqueador de contenido
Complemento emergente universal
ClearFake es un tipo de ataque de malware que todos hemos visto en el pasado: un sitio web se ve comprometido y se utiliza para mostrar una notificación emergente falsa. Esta notificación generalmente imita una advertencia de antivirus o una notificación del navegador e informa al usuario que su computadora está infectada con un virus o está desactualizada y, por lo tanto, no puede mostrar el sitio web deseado.
A través de pitidocomputadora
