{"id":1609813,"date":"2025-03-06T11:18:23","date_gmt":"2025-03-06T11:18:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/mas-de-1000-sitios-de-wordpress-infectados-con-puertas-traseras-de-javascript-que-permiten-el-acceso-persistente-del-atacante\/"},"modified":"2025-03-06T11:18:29","modified_gmt":"2025-03-06T11:18:29","slug":"mas-de-1000-sitios-de-wordpress-infectados-con-puertas-traseras-de-javascript-que-permiten-el-acceso-persistente-del-atacante","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mas-de-1000-sitios-de-wordpress-infectados-con-puertas-traseras-de-javascript-que-permiten-el-acceso-persistente-del-atacante\/","title":{"rendered":"M\u00e1s de 1,000 sitios de WordPress infectados con puertas traseras de JavaScript que permiten el acceso persistente del atacante"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Incribe de datos \/ seguridad del sitio web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Mas-de-1000-sitios-de-WordPress-infectados-con-puertas-traseras.png\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>M\u00e1s de 1,000 sitios web impulsados \u200b\u200bpor WordPress se han infectado con un c\u00f3digo JavaScript de terceros que inyecta cuatro puertas traseras separadas.<\/p>\n<p>&#8220;Creaci\u00f3n de cuatro puertas traseras facilita a los atacantes que tienen m\u00faltiples puntos de reingreso en caso de que se detecte y elimine&#8221;, el investigador de C\/lateral Himanshu Anand <a rel=\"noopener nofollow\" href=\"https:\/\/cside.dev\/blog\/thousands-of-websites-hit-by-four-backdoors-in-3rd-party-javascript-attack\" target=\"_blank\">dicho<\/a> En un an\u00e1lisis del mi\u00e9rcoles.<\/p>\n<p>Se ha encontrado que el c\u00f3digo de JavaScript malicioso se sirve a trav\u00e9s de CDN.Csyndication[.]com. A partir de escribir, tantos como <a rel=\"noopener nofollow\" href=\"https:\/\/publicwww.com\/websites\/csyndication.com\/\" target=\"_blank\">908 sitios web<\/a> contener referencias al dominio en cuesti\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Las funciones de las cuatro puertas traseras se explican a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li>Backdoor 1, que carga e instala un complemento falso llamado &#8220;Procesador Ultra SEO&#8221;, que luego se utiliza para ejecutar comandos emitidos por el atacante<\/li>\n<li>Backdoor 2, que inyecta JavaScript malicioso en wp-config.php<\/li>\n<li>Backdoor 3, que agrega una tecla SSH controlada por el atacante al archivo ~\/.ssh\/autorized_keys para permitir el acceso remoto persistente a la m\u00e1quina<\/li>\n<li>Backdoor 4, que est\u00e1 dise\u00f1ado para ejecutar comandos remotos y obtiene otra carga \u00fatil de GSocket[.]IO probablemente abrir\u00e1 una carcasa inversa<\/li>\n<\/ul>\n<p>Para mitigar el riesgo planteado por los ataques, se recomienda que los usuarios eliminen las claves SSH no autorizadas, roten las credenciales de administraci\u00f3n de WordPress y controlen los registros del sistema para actividades sospechosas.<\/p>\n<p>El desarrollo se produce como la compa\u00f1\u00eda de seguridad cibern\u00e9tica <a rel=\"noopener nofollow\" href=\"https:\/\/cside.dev\/blog\/over-35-000-websites-targeted-in-full-page-hijack-linking-to-a-chinese-language-gambling-scam\" target=\"_blank\">detallado<\/a> Otra campa\u00f1a de malware ha comprometido a m\u00e1s de 35,000 sitios web con JavaScript malicioso que &#8220;secuestra completamente la ventana del navegador del usuario&#8221; para redirigir a los visitantes del sitio a las plataformas de juego en idioma chino.<\/p>\n<p>&#8220;El ataque parece estar dirigido o originado de regiones donde el mandar\u00edn es com\u00fan, y las p\u00e1ginas de destino finales presentan contenido de juego bajo la marca &#8216;Kaiyun&#8217;.<\/p>\n<p>Las redirecciones ocurren a trav\u00e9s de JavaScript alojado en cinco dominios diferentes, que sirve como un cargador para la carga \u00fatil principal responsable de realizar las redirecciones &#8211; <\/p>\n<ul>\n<li>mlbetjs[.]comunicarse<\/li>\n<li>ptfafajs[.]comunicarse<\/li>\n<li>zuizhongjs[.]comunicarse <\/li>\n<li>jbwzzzjs[.]comunicarse<\/li>\n<li>jpbkte[.]comunicarse <\/li>\n<\/ul>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Los hallazgos tambi\u00e9n siguen un nuevo informe del Grupo-IB sobre un actor de amenaza denominado <b>SCREADEDJUNGLE <\/b>Eso inyecta un Bablosoft JS con c\u00f3digo JavaScript en sitios web de Magento comprometidos para recopilar huellas digitales de usuarios visitantes. Se cree que m\u00e1s de 115 sitios de comercio electr\u00f3nico se ven afectados hasta la fecha.<\/p>\n<p>El script inyectado es &#8220;parte de la suite Bablosoft BrowserautomationStudio (BAS)&#8221;, The Singapurean Company <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/fingerprint-heists\/\" target=\"_blank\">dicho<\/a>agregarlo &#8220;contiene varias otras funciones para recopilar informaci\u00f3n sobre el sistema y el navegador de usuarios que visitan el sitio web comprometido&#8221;.<\/p>\n<p>Se dice que los atacantes est\u00e1n explotando vulnerabilidades conocidas que afectan las versiones vulnerables de Magento (por ejemplo, CVE-2024-34102, tambi\u00e9n conocido como Cosmicsting y CVE-2024-20720) para violar los sitios web. El actor de amenaza de motivaci\u00f3n financiera se descubri\u00f3 por primera vez en la naturaleza a fines de mayo de 2024.<\/p>\n<p>&#8220;Las huellas digitales del navegador es una t\u00e9cnica poderosa com\u00fanmente utilizada por los sitios web para rastrear las actividades de los usuarios y adaptar las estrategias de marketing&#8221;, dijo el grupo-IB. &#8220;Sin embargo, esta informaci\u00f3n tambi\u00e9n es explotada por los cibercriminales para imitar el comportamiento leg\u00edtimo del usuario, evadir las medidas de seguridad y realizar actividades fraudulentas&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/over-1000-wordpress-sites-infected-with.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de marzo de 2025\ue804Ravie LakshmananIncribe de datos \/ seguridad del sitio web M\u00e1s de 1,000 sitios web<\/p>\n","protected":false},"author":1,"featured_media":1609814,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,100,4661,4664,99,38,8515,7354,273784,273783,16,4654,273782,4659,4653,4655,35765,24342,66,246983,4665,246984,3260,50975,455,239484,51459],"class_list":["post-1609813","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacante","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-del","tag-infectados","tag-javascript","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permiten","tag-persistente","tag-puertas","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sitios","tag-traseras","tag-violacion","tag-vulnerabilidad-del-software","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1609813","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1609813"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1609813\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1609814"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1609813"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1609813"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1609813"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}