Falsos archivos de jQuery están infectando sitios de WordPress con malware
Investigadores de seguridad han detectado versiones falsificadas del plugin jQuery Migrate introducidas en docenas de sitios web que contienen código ofuscado para subir malware.
Estos archivos llamados jquery-migrate.js y jquery-migrate.min.js están presentes en las ubicaciones exactas donde los archivos JavaScript normalmente están presentes en los sitios de WordPress. Sin embargo, son archivos maliciosos.
Hasta este momento se estima que más de 7.2 millones de sitios web utilizan el plugin jQuery Migrate. Esto explica por qué los atacantes disfrazarían su malware con el nombre de este popular complemento.
Investigadores detectan archivos jQuery falsos que son malware
Esta semana, los investigadores de seguridad Denis Sinegubko y Adrian Stoian detectaron archivos jQuery falsificados. Los archivos falsificados se hicieron pasar por el complemento jQuery Migrate en docenas de sitios web.
Para que la detección sea un desafío, estos archivos maliciosos reemplazan los archivos legítimos originales presentes en ./wp-includes/js/jquery/ en estos sitios web. Recordemos que este es el directorio donde WordPress guarda los archivos jQuery.
Estos archivos llamados jquery-migrate.js y jquery-migrate.min.js tienen código ofuscado y utilizan un misterioso archivo analytics.js con código malicioso dentro.
Aunque la escala total de este ataque aún no se ha determinado, Sinegubko compartió unos hallazgos alarmantes. Él mostró más de 30 páginas actualmente infectadas con el script malicioso analytics .
Sin embargo, a diferencia de su nombre, el archivo analytics no tiene nada que ver con la recopilación de métricas del sitio web:
Hemos analizado parte del código ofuscado presente en el archivo.
El código tiene referencias a “/wp-admin/user-new.php” que es la página de administración de WordPress para crear nuevos usuarios. Además, el código accede a la variable wpnonce_create-user que WordPress usa para hacer cumplir las protecciones contra la falsificación de solicitudes entre sitios (CSRF).
En términos generales, poder obtener o configurar tokens CSRF les daría a los atacantes la capacidad de realizar solicitudes falsificadas en nombre de los usuarios.
Peligros
La inyección de scripts como estos en un sitio de WordPress permite a los atacantes realizar una variedad de actividades maliciosas. Estas actividades abarcan desde estafas de Magecart para robar tarjetas de crédito hasta redirigir a los usuarios a sitios de estafa.
Es posible que los usuarios sean redirigidos a encuestas falsas y estafas de soporte técnico. Asimismo, les pueden solicitar que se suscriban a notificaciones de spam o que descarguen extensiones de navegador maliciosas.
Pero, más específicamente en este caso, la función checkme() intenta redirigir la ventana del navegador del usuario a una URL maliciosa.
En particular, la línea 15 del script analytics (que se muestra arriba) contiene una URL codificada con sus caracteres representados como números ASCII.
Cuando la descodificamos, pudimos darnos cuenta que la URL era la siguiente:
https://blow.talkingaboutfirms[.]ga/?sid=54745-33-674347-21&cid=378345&pidi=654368&aid=27833NOTA: Te recomendamos no navegar a la URL anterior.
Redirecciones
El script analytics.js primero redirige al usuario a esta URL, esto lleva al usuario a través de una serie de redireccionamientos a URL de spam.
En los ejemplos que observamos, las páginas solicitaban repetidamente al usuario que “Permitiera” las notificaciones del navegador para verificar que no eran un robot. En otros casos, las paginas conducían a encuestas falsas destinadas a recopilar datos del usuario.
Hasta que el usuario hace clic en “Permitir”, la secuencia de redireccionamiento lo hace pasar por diferentes dominios y páginas web, mostrando al usuario el mismo mensaje de formas más creativas.
A continuación, te mostramos un ejemplo de encuesta de spam a la que es dirigido el usuario mediante esta URL:
Una búsqueda de esta URL recién identificada reveló más de 20 sitios web que estaban infectados con ella.
La red de direcciones URL de spam que se utilizan en la secuencia de redireccionamiento también es amplia con varios dominios en juego. Aún no hemos analizado cada uno de estos dominios.
Baja tasa de detección de VirusTotal
Como observamos al momento de escribir este artículo el archivo malicioso analytics.js en cuestión, y la URL identificada por nosotros pasan desapercibidos de más del 90% de los motores antivirus. Esto dadas las bajas tasas de detección de VirusTotal.
Por lo tanto, realizar escaneos de seguridad de tus sitios web confiando únicamente en el escaneo basado en firmas puede no ser suficiente. Estos escaneos no podrán detectar códigos falsos que acechan en tus instancias de WordPress.
Todavía no se sabemos cómo se inyectan estos scripts o como se abren camino en las páginas web de los servidores comprometidos.
Si tu sitio web utiliza WordPress o plugins populares de JavaScript como jQuery Migrate debes tomar acciones periódicas. Lo mejor es realizar periódicamente auditorías de seguridad exhaustivas y verificar anomalías que puedan indicar signos de actividad maliciosa.
