La infección proviene de la instalación de complementos y temas “anulados” o pirateados.
Si su sitio está hecho con la plataforma WordPress, ponga atención: Se ha descubierto la operacion WP-VCD que ciberdelincuentes están utilizando para secuestrar sitios web implementados con WordPress.
De acuerdo con un informe de Wordfence, WP-VCD utiliza temas y complementos “anulados” o pirateados que los webmasters instalan en sus sitios implementados con WordPress, infectando el sitio web con puertas traseras.
La operación WP-VCD ha estado activa al menos desde febrero de 2017, registrando desde agosto de 2019 un aumento en la tasa de infecciones, más que cualquier otro malware de WordPress, sin que haya indicios de que disminuya.
Los complementos y temas infectados con malware se encuentran en sitios web que los ciberdelincuentes operan con una estrategia SEO tan buena que normalmente aparecen entre los primeros resultados de búsqueda de Google.
Una vez instalado el tema o complemento, el malware toma el control del sitio web afectado. Agrega una cuenta de puerta trasera para el acceso de los ciberdelincuentes. El malware se agrega a todos los temas del sitio web para asegurar su ejecución desde cualquier tema instalado. En caso de un entorno de alojamiento compartido, el malware se propaga al servidor de alojamiento para infectar a otros sitios web alojados en el host.
La monetización de WP-VCD proviene de dos fuentes principales: actividad de marketing viral destinada a manipular los resultados de los motores de búsqueda a través de SEO de sombrero negro, y el código de publicidad maliciosa que crea redireccionamientos potencialmente peligrosos y anuncios emergentes para los usuarios que ven un sitio comprometido.
En su documento técnico sobre la campaña WP-VCD, Wordfence revela datos que proporcionan atribución al actor de la amenaza detrás de la campaña.
La recomendación para prevenir una infección por WP-VCD es bien simple: No instalar complementos y temas anulados.