Fran 🐝 Brizzolis

hace 4 años · 3 min. de lectura · visibility ~10 ·

chat Contactar con el autor

thumb_up Relevante message Comentar

WordPress: El objetivo más atacado por los ciberdelicuentes

WordPress: El objetivo más atacado por los ciberdelicuentesIY BOSSA SPAM Abc Chand. mam we AA Frais 5. mes Wigs rs (TNH HAARS

 

Aan

 

fa ms oN
ET A

PODER |UDICIAL  CTTACKON UDMCIAL ALTIKNATIA

Naa contotane src te by
fryer 5 oes Trvsams cents
mb cg bs sh p d r + n
iron pa ever tre bs be sts on bok, tio
rie tiehag tea piteth ana

ey

NOTIN AMOS INFRACCION DE TRANAITO
Fecha EL00TH torn 14 1190

Rogar eves cole Bupradns 51098

Dua Aste Picts

INTRACCION CLEAR SE MATORO EN ROJO

 

Al nents bs ening do ty srl bn comparenbe
oct sora oh een 5 orn 02 phar 1 he (9
ars penises ead Ws vias en oars fo de
arn hanes ope shnnd

 

 

 

 

£50 FAD 412 LA FOTO CORRCT MINT

mbes i LC ta smtabliad coma de



Como continuación al grandísimo artículo publicado hace unos días por José Ramón 🐝 López, donde nos explicaba qué hacía él cuando diseñaba un sitio web con WordPress para sus clientes, para conseguir hacer sus web más seguras, me permito escribir este "anexo", donde "veréis" un poco más de cerca un ataque real, realizado hace algunas semanas.


WordPress es el gestor de contenidos (CMS en inglés) con más presencia en el mercado, y por tanto es el CMS con más webs, siendo además el más utilizado por particulares y PYMES principalmente, y muchas grandes empresas también por supuesto, lo que lo convierte en el objetivo más desado por los ciberdelicuentes, siendo utilizado para realizar otros ataques, y lógicamente tambien para el robo de información privilegiada y credenciales de acceso a bancos y organismos oficiales, entre otros muchos, de las webs comprometidas.


De esto se deduce, que WordPress es probablemente el sitio más atacado diariamente en todo el mundo.


Pero, ¿cómo lo hacen? (esto no es "Discovery Channel", pero intentaré haceros un breve esbozo).


A medida que pasan los años crecen las tecnologías utilizadas por los desarrolladores de software para construir o mejorar sus creaciones. Pero a su vez, crecen las vulnerabilidades que tienen estas tecnologías y los ciberdelincuentes sacan provecho de esto para llevar a cabo sus ataques.


Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tanto, el más atacado también. Esto no quiere decir que WordPress sea más vulnerable o inseguro a la hora de elegir un CMS; de hecho, muchos de los puntos débiles en esta plataforma resultan ser los complementos que se instalan en ella.



¿Cuál es el impacto de un sitio comprometido?


Desde cualquier punto de vista un sitio comprometido tiene un impacto negativo. Por el lado del dueño o desarrollador es una cuestión grave, ya que un atacante lograría el acceso total a los archivos y datos, y podría abusar del hosting para alojar malware y/o phishing. Una vez que el atacante comienza a propagar estas amenazas, el sitio seguramente comience a ser bloqueado o catalogado como malicioso, e ingresará a una lista negra compuesta por sitios con mala reputación. Sin dudas, esto sería muy dañino para el negocio en el que esté involucrado, el cual estaría perdiendo tanto dinero como visitas.



Un caso real


Hace unos días se empezaron a recibir falsos correos del Poder Judicial de Chile, notificando al receptor que posee deudas debido a una supuesta infracción de tráfico; como consecuencia, se invita al usuario a acceder a un enlace para ver la imagen del momento de la infracción. En el detalle del enlace podemos observar que el sitio de donde se descarga la amenaza es un WordPress que en algún momento fue comprometido (o que sigue estándolo todavía).


Resulta un beneficio para los atacantes que estos sistemas tengan grietas de seguridad, ya que se evitan el trabajo de contratar un hosting y que los investigadores puedan dar con él.



a 0 me (WDC
4 NOE

TE
ww
sre: >
cov
Cm an

wack

- m0 i

woven

rimcoathoaliel tr epi
owe

“amen

sustaozes


Después de descargar la amenaza, se observa de que se trata de un JavaScript malicioso. Analizando el archivo también se puede apreciar que el script tiene como fin descargar dos archivos, un ejecutable (EXE) y un comprimido (ZIP). No se puede obviar que estos dos nuevos archivos iban a provenir de otro sitio web que también contiene WordPress implementado.


Como podéis ver, resulta un objetivo fácil para los ciberdelincuentes atacar este tipo de CMS y obtener alguna ventaja de ellos. En este caso real lograron algún tipo de acceso a través de una vulnerabilidad, que les permitió alojar archivos en el servidor web.



ea457ca6.png



Al obtener los dos archivos que el JavaScript intenta descargar, confirmamos de que se trata de un ejecutable y un comprimido. Analizando el primero observamos que es un archivo 7-Zip, un software para comprimir y descomprimir archivos. Si volvemos a observar el JavaScript, vemos que en la línea 38 se encuentra la password que protege al ZIP, y en la línea 40 el comando con los argumentos y parámetros para descomprimirlo.


Tal como se ve en la siguiente captura, obtuvimos un ejecutable, detectado como Win32/Spy.Banker por el antivirus, y que tal y como su código describe, es un malware encargado de robar credenciales bancarias.



77161875.png



Conclusión


Existen muchos y variados casos como el que acabamos de ver, porque sigue habiendo malas implementaciones; además, no hay un consentimiento sobre la seguridad de la información en las aplicaciones que utilizamos, ya sea para ocio, o para nuestro negocio. Por tales motivos, es crucial que nos mantengamos actualizados e informados (en la medida de lo posible), respecto a las amenazas y vulnerabilidades que podrían afectarnos, para luego tomar las precauciones necesarias e instalar los parches de seguridad.


Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress, que son habitualmente las mismas para casi todo, son:


  • Actualizar WordPress, complementos y temas.
No tener más de un CMS en un mismo servidor. Instalar siempre complementos conocidos y de confianza. Usar temas de WordPress seguros y de confianza. Utilizar siempre contraseñas robustas.










Referencias:


http://www.elladodelmal.com/2016/02/hackear-un-wordpress-con-network-packet.html

https://www.lifestylealcuadrado.com/seguridad-en-wordpress/

https://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-preparado/

https://raiolanetworks.es/blog/los-5-mejores-plugins-de-seguridad-para-wordpress/

https://www.ciudadano2cero.com/guia-seguridad-wordpress/

http://www.elladodelmal.com/2013/12/fortificar-wordpress-frente-ataques-de.html

http://inetweb.es/4-tipos-de-ataques-que-sufre-wordpress/

http://memoriasdeunsysadmin.info/wordpress-y-los-ataques-xmlrpc/

https://codex.wordpress.org/FAQ_My_site_was_hacked








""""
thumb_up Relevante message Comentar
Comentarios

Fran 🐝 Brizzolis

hace 4 años #2

#6
Gracias es lo que intento como buenamente creo que debo hacerlo... Pero por aqui hay gente en la sombra que sabe mucho mas que yo... Te lo puefo asegurar.

Fran 🐝 Brizzolis

hace 4 años #1

#2
El aprendizaje es siempre del alumno... Y de su voluntad... Yo no pretendo enseñar pero si compartir todo aquello que considero cierto y bueno...

Más artículos de Fran 🐝 Brizzolis

Ver blog
hace 2 años · 10 min. de lectura

Ciberseguridad en PYMES: Administrando sistemas de forma segura (buenas prácticas)

Hola abejas, estos días me costaba bastante encont ...

hace 2 años · 4 min. de lectura

El lado oscuro de la inteligencia artificial (IA)

Hola abejas, después de este período navideño en e ...

hace 2 años · 1 min. de lectura

Por difícil que parezca: ¡Feliz Navidad para todos!

¡Hola abejas!... · ¿No pensaríais que os ibais a ...