Los sitios de WordPress est\u00e1n siendo pirateados para mostrar p\u00e1ginas fraudulentas de protecci\u00f3n DDoS de Cloudflare que conducen a la entrega de malware como NetSupport RAT y Raccoon Stealer.<\/p>\n
“Un aumento reciente en las inyecciones de JavaScript dirigidas a los sitios de WordPress ha resultado en avisos falsos de DDoS que impiden que las v\u00edctimas descarguen malware troyano de acceso remoto”, Ben Martin de Sucuri. dijo<\/a> en un art\u00edculo publicado la semana pasada.<\/p>\n Las p\u00e1ginas de protecci\u00f3n de denegaci\u00f3n de servicio distribuida (DDoS) son comprobaciones esenciales de verificaci\u00f3n del navegador dise\u00f1adas para impedir que el tr\u00e1fico malicioso y no deseado impulsado por bot consuma ancho de banda y elimine sitios web.<\/p>\n El nuevo vector de ataque consiste en secuestrar sitios de WordPress para mostrar ventanas emergentes falsas de protecci\u00f3n DDoS que, al hacer clic, conducen en \u00faltima instancia a la descarga de un archivo ISO malicioso (“security_install.iso”) en los sistemas de la v\u00edctima.<\/p>\n Esto se logra mediante la inyecci\u00f3n de tres l\u00edneas de c\u00f3digo en un archivo JavaScript (“jquery.min.js”) o, alternativamente, en el archivo de tema activo del sitio web, que, a su vez, carga JavaScript muy ofuscado desde un servidor remoto.<\/p>\n “Este JavaScript luego se comunica con un segundo dominio malicioso que carga m\u00e1s JavaScript que inicia el mensaje de descarga del archivo .iso malicioso”, explic\u00f3 Martin.<\/p>\n Despu\u00e9s de la descarga, se solicita a los usuarios que ingresen un c\u00f3digo de verificaci\u00f3n generado desde la aplicaci\u00f3n llamada “DDoS Guard” para atraer a la v\u00edctima a abrir el archivo de instalaci\u00f3n armado y acceder al sitio web de destino.<\/p>\n Si bien el instalador muestra un c\u00f3digo de verificaci\u00f3n para mantener la artima\u00f1a, en realidad, el archivo es un troyano de acceso remoto llamado RATA de NetSupport<\/a>que est\u00e1 vinculado a la familia de malware FakeUpdates (tambi\u00e9n conocido como SocGholish) y tambi\u00e9n instala de forma encubierta Raccoon Stealer, un troyano de robo de credenciales disponible para alquilar en foros clandestinos.<\/p>\n El desarrollo es una se\u00f1al de que los atacantes est\u00e1n aprovechando de manera oportunista estos mecanismos de seguridad familiares en sus propias campa\u00f1as en un intento por enga\u00f1ar a los visitantes del sitio web desprevenidos para que instalen malware.<\/p>\n Para mitigar tales amenazas, los propietarios de sitios web deben colocar sus sitios detr\u00e1s de un firewall, emplear controles de integridad de archivos y hacer cumplir la autenticaci\u00f3n de dos factores (2FA). Tambi\u00e9n se insta a los visitantes del sitio web a activar 2FA, evitar abrir archivos sospechosos y usar un bloqueador de secuencias de comandos en los navegadores web para evitar la ejecuci\u00f3n de JavaScript.<\/p>\n “La computadora infectada podr\u00eda usarse para robar redes sociales o credenciales bancarias, detonar ransomware o incluso atrapar a la v\u00edctima en una red ‘esclava’ nefasta, extorsionar al propietario de la computadora y violar su privacidad, todo dependiendo de lo que decidan hacer los atacantes. con el dispositivo comprometido”, dijo Martin.<\/p>\n Esta no es la primera vez que se utilizan archivos con temas ISO y comprobaciones de CAPTCHA para entregar la RAT de NetSupport.<\/p>\n En abril de 2022, eSentire revelado<\/a> una cadena de ataque que aprovech\u00f3 un instalador falso de Chrome para implementar el troyano, lo que allan\u00f3 el camino para la ejecuci\u00f3n de Mars Stealer. Asimismo, una campa\u00f1a de phishing con el tema del IRS detallada por Cofense<\/a> y Tecnolog\u00eda global de Walmart<\/a> Involucr\u00f3 el uso de rompecabezas CAPTCHA falsos en sitios web para entregar el mismo malware.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/Investigadores-encuentran-telefonos-falsificados-con-puerta-trasera-para-hackear-cuentas.png\")
<\/a><\/div>\n![\"Ataque](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661349455_642_Piratas-informaticos-que-utilizan-paginas-falsas-de-proteccion-DDoS-para.jpg\" "\\"Ataque")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661187374_43_Investigadores-encuentran-telefonos-falsificados-con-puerta-trasera-para-hackear-cuentas.png\")
<\/a><\/div>\n