sábado, mayo 09, 2015

WordPress troyanizados roban tus usuarios y contraseñas

Si tienes un servidor WordPress en alguno de tus sistemas, además de tener un cuidado extremo con las actualizaciones de seguridad - especialmente con el bug de XSS persistente que se ha estado explotando estos días - debes comprobar que que no esté troyanizado por algún bug anterior y esté robando los usuarios y contraseñas de todos los accesos desde la misma página de login.

Figura 1: WordPress troyanizados roban tus usuarios y contraseñas

Eso es lo que han detectado en ZScaler, donde han comprobado como hay una campaña de infección para servidores WordPress que están inyectando un fichero JavaScript en la página de login, tal y como se puede ver en la imagen siguiente de un sitio infectado.

Figura 2: Sitio WordPress comprometido con inyección de JavaScript malicioso en página de login

El fichero JavaScript inyectado, lo que está haciendo es interceptar los valores introducidos en el formulario de login y robar el usuario y las contraseñas para enviarlos a un servidor controlado por los atacantes. El código está ofuscado, pero al final está interceptando el submit del formulario de login, concatenando todos los valores enviados y codificándolos en Base64 para enviarlos a un servidor web remoto.

Figura 3: Código malicioso JavaScript inyectado. Está ofuscado.

Esto es algo que ya hicimos nosotros cuando montamos la JavaScript Botnet usando un Proxy Anónimo y que utilizamos para hacer ataques dirigidos contra sitios infectando la caché de las víctimas con páginas de login con ficheros JavaScript troyanizados y que hoy en día se puede hacer fácilmente con BeEF. Aquí tienes la conferencia de Owning Bad Guys {and Mafia} using JavaScript Botnets donde se explica y se hace esta demostración de cómo de robar las contraseñas de un sitio con un JavaScript que intercepta el login de una web.


Figura 4: Owning Bad Guys {and mafia} using JavaScript Botnets at BlackHat USA 2012

Si tienes un servidor WordPress revisa en detalle su seguridad, comprueba que el contenido externo que está cargando tu web es el que debe cargar y que no hay ningún fichero JavaScript remoto en la página de login. Por supuesto, si tienes puesto Latch para WordPress (que se tarda 10 minutos) y alguien intenta utilizar una credencial robada no va a poder y encima vas a recibir una alerta de seguridad que podría ayudarte a detectar qué sitio WordPress tienes comprometido.

Saludos Malignos!

4 comentarios:

Jonathan Novel dijo...

Joder con esta gente, no salen de una cuando se meten en otra, vaya tela macho, los usuarios de Wordpress tienen qu estar hasta los mismisimos :(

Saludos¡

Anónimo dijo...

Hola señor Informatico!
Muy buena su info, ahora, para gente no tan capacitada como quien le escribe... el metodo mas sencillo para detectar el bug es: mirar el codigo de la pagina de login?
Gracias :)

Ruben Cotera dijo...

La verdad es que Wordpress tiene bastantes pequeños agujeritos (y no ta pequeños), pero con un poco de paciencia se puede dejar bastante blindado y librarte de la mayor parte de ellos. Yo tengo Latch para Wordpress en mi blog y me va genial, sinceramente, no me preocupo en absoluto por que sea hackeado, aunque, por si las moscas, le he puesto alguna seguridad extra: Lo mantengo siempre actualizado a la ultima versión y los plugins también, y he instalado el plugin iThemes Security, el cual, correctamente configurado evita muchas posibilidades de code inyection, robo de contraseñas o acceso a lectura o escritura de algunos ficheros básicos del CMS. ¡Lo recomiendo mucho!

Anónimo dijo...

Wordpress es seguro porque es codigo abierto.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares