Hoy, 15 de marzo de 2022, el equipo de respuesta a incidentes de Wordfence alertó a su equipo de inteligencia acerca amenazas sobre un aumento en los sitios web infectados alojados en el servicio de WordPress administrado de GoDaddy, que incluye MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet y los sitios de WordPress administrados de Host Europe. Estos sitios afectados tienen una puerta trasera casi idéntica antepuesta al archivo wp-config.php. De los 298 sitios que han sido recientemente infectados por esta puerta trasera desde hace 5 días el 11 de marzo, al menos 281 están alojados con GoDaddy.
Mecanismo de operación
Si se envía al sitio una solicitud con una cookie establecida en un cierto valor codificado en base64, la puerta trasera descargará una plantilla de enlace de spam desde un dominio de comando y control (C2), en este caso t-fish-ka[.]ru
, y la guardará en un archivo codificado con un nombre establecido en el hash MD5 del dominio del sitio infectado. Por ejemplo, el archivo codificado para ‘examplesite.com’ se llamaría 8c14bd67a49c34807b57202eb549e461
, que es un hash de ese dominio.
Si bien el dominio C2 tiene un TLD ruso, no hay indicios de que esta campaña de ataque tenga motivaciones políticas o esté relacionada con la invasión rusa de Ucrania. El dominio muestra una página web en blanco, pero en 2019 ofrecía lo que parece ser contenido para adultos, posiblemente con un enfoque de marketing de afiliación.
El archivo codificado que se descarga contiene una plantilla basada en el código fuente del sitio infectado, pero con enlaces a spam farmacéutico añadido. Esta plantilla de enlace de spam está configurada para mostrarse cada vez que se accede al sitio.
Si tu sitio está alojado en la plataforma de WordPress administrado de GoDaddy (que incluye sitios de WordPress administrados de MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet y Host Europe), te recomendamos que verifiques manualmente el archivo wp-config.php, o ejecutes un análisis con una solución de detección de malware, como el escáner gratuito Wordfence, para asegurarse de que tu sitio no esté infectado.
Si tu sitio está infectado, deberás limpiarlo y es posible que también debas eliminar los resultados del motor de búsqueda de spam. Wordfence ofrece recursos instructivos sobre cómo limpiar un sitio web de WordPress pirateado .
Si conoces a alguien que usa el alojamiento administrado de WordPress de GoDaddy, te instamos a que les envíes este aviso porque los resultados de motores de búsqueda maliciosos pueden tardar mucho en recuperarse y actuar con rapidez puede ayudar a minimizar el daño.