Investigadores de Sucuri Security descubrieron otra campaña maliciosa que redirige a usuarios a sitios que alojan exploits. Como ya es costumbre, los atacantes están aprovechando vulnerabilidades, principalmente en plugins de WordPress, para comprometer sitios que se convertirán en el primer vínculo de la cadena de redirección.
Los investigadores no mencionaron qué muestra de malware se entrega a los usuarios cuyos equipos han sido comprometidos, pero resaltaron el hecho de que permite a los atacantes montar este tipo de ataques una y otra vez: muchos dueños de sitios WordPress están fallando al no actualizar los complementos que utilizan.
En esta campaña en particular, los atacantes se aprovecharon de que los administradores del sitio siguen usando una versión vieja del plugin Slider Revolution (RevSlider) el cual contiene una vulnerabilidad crítica, que permite a cualquier atacante comprometer sitios web a través de su base de datos.
Los desarrolladores han intentado cerrar paulatinamente la vulnerabilidad en los plugins, pero desafortunadamente, RevSlider es tan popular que con frecuencia se incorpora en temas para los sitios, por lo que es común que los administradores que utilizan este tipo de paquetes no sean conscientes de que tienen el plugin instalado el cual deben actualizar.
En esta campaña, los sitios WordPress comprometidos redirigen a los usuarios a otro sitio que sirve como un sistema de dirección de tráfico (TDS): detecta qué visitantes utilizan Internet Explorer y quiénes no lo hacen. Los primeros son redirigidos a otro sitio que comprueba si el visitante utiliza Kaspersky y soluciones antivirus Trend Micro o una máquina virtual, si no lo hacen, el sitio inyecta un exploit Flash desde un tercer sitio. Un destino similar le espera a usuarios de otros navegadores basados en Trident (motor de renderizado de Microsoft Windows para Internet Explorer), Presto (motor de renderizado para Opera) e iPhone.
Aquellos usuarios que no utilizan alguno de los navegadores mencionados son redirigidos a Bitcoin.org, se desconoce el motivo pero la buena noticia es que dicho sitio no ha sido comprometido.
«Por favor, no piense que sólo necesita actualizar el plugin RevSlider», reiteraron los investigadores. «Mantenga todos sus plugins y temas actualizados. Cualquier plugin puede tener vulnerabilidades críticas en un momento dado, conocidas o desconocidas. Incluso los plugins más populares pueden tener problemas de seguridad.»
Fuente: Help Net Security DB
Fuente: http://www.seguridad.unam.mx/noticia/
Fecha de consulta: 11 Mayo 2015
