Infección mediante anuncios: hackers acceden a un servidor auxiliar y comprometen millones de sitios en WordPress
El código malicioso se activaba cuando el propietario legítimo entraba a revisar su página.
Plugins populares para WordPress quedaron en el centro de un ataque a la cadena de suministro — los atacantes no comprometieron los productos en sí, sino la infraestructura de su distribución. Resultaron afectados tres plugins de la empresa Awesome Motive: OptinMonster, TrustPulse y PushEngage. El primero está instalado en al menos 1,2 millones de sitios y se utiliza para la generación de leads y la optimización de la conversión. El ataque descubrió la empresa Sansec, dedicada a la seguridad en el comercio electrónico.
Los atacantes accedieron a un servidor auxiliar de marketing de Awesome Motive, aprovechando una vulnerabilidad conocida en el plugin UpdraftPlus. Ese servidor no estaba conectado a la infraestructura de producción de la empresa, pero en él se almacenaban las credenciales de una cuenta en la red de entrega de contenido (CDN). Al obtener la clave API, los atacantes alteraron los archivos JavaScript que la CDN distribuía a los usuarios de los plugins.
El script malicioso se activaba cuando un administrador de WordPress accedía a una página infectada: el código interceptaba tokens de autenticación y creaba una cuenta de administrador falsa. Luego se instalaba en el sitio un plugin oculto de puerta trasera con una web shell y capacidad de ejecución remota de código. Para la transmisión de los datos robados se utilizó un dominio que imitaba al servicio Tidio. Para dificultar la detección, el plugin cambiaba periódicamente de nombre — por ejemplo, se ocultaba bajo «Content Delivery Helper» y «Database Optimizer».
Los scripts maliciosos se distribuyeron el 12 de junio: OptinMonster y TrustPulse durante unos 25 minutos, PushEngage hasta el día siguiente. Awesome Motive recuperó el servidor, lo trasladó a una nueva infraestructura y cambió todas las credenciales, incluida la clave de la CDN. El código fuente, los servidores de aplicaciones y los datos de los usuarios no resultaron afectados.
Se recomienda a los propietarios de sitios que usaron estos plugins el 12–13 de junio que revisen el panel de administración en busca de cuentas no autorizadas con nombres «developer_api1» o «dev_» con cualquier sufijo, y que escaneen el directorio wp-content/plugins en busca de plugins ocultos. Además, conviene realizar un escaneo del servidor en busca de código malicioso y cambiar las contraseñas de los administradores, las claves API, las credenciales de la base de datos y las claves de seguridad de WordPress.
Incluso después de eliminar los scripts maliciosos de la CDN, los sitios que conservan puertas traseras y cuentas falsas siguen bajo control de los atacantes.