Si tienes un sitio en WordPress, tal vez te interese saber de qué se trata esto. Descúbrelo junto a nosotros.
Los hackeos o ataques informáticos están a la orden del día. Y es que los ciberdelincuentes saben cómo ir un paso adelante. En esta ocasión se han valido de sitios web WordPress para distribuir una puerta trasera entre los usuarios de dicha plataforma.
Esta amenaza lleva el nombre de Sathurbot y ya ha infectado un total de 20 mil usuarios. Se aprovecha de anuncios en los que se promete la descarga de series y películas de manera gratuita. Pero, ¿qué sucede al final? El usuario terminará descargando esta puerta trasera, de la cual hablábamos.
¿Cómo opera Sathurbot?
La compañía ESET ha sido la encargada de llevar a cabo un análisis del comportamiento de esta amenaza. Una de las primeras cosas que identificó es que se ha estado distribuyendo desde el mes de junio de 2016, aunque su nivel de actividad ha sido bajo.
Desde esta misma compañía aseguran que los delincuentes se están valiendo de cuentas de gestión de los sitios web, para modificar la configuración del portal y así publicar la amenaza que nos ocupa. Los tipos de ataques que se están realizando corresponden a fuerza bruta, ocupando diccionarios con las contraseñas más comunes.
Contenidos falsos
Como ya habíamos mencionado, los atacantes ofrecen contenido acerca de la descarga de películas como capítulos de series, de forma gratuita, lo que sin duda es un atractivo gancho., Pero esto no es así, y lo que termina descargando el usuario es la amenaza.
Esta amenaza está diseñada para afectar a usuarios con sistema operativo Windows y las sospechas deberían hacer aparición, justo en el momento de la descarga, cuando ésta sólo dura apenas un par de segundos.
¿Qué ocurre después de la descarga?
Luego de ejecutar el fichero, lo primero que pasa es que te brinda un aviso de que ha ocurrido un error y la instalación no podrá iniciarse, siendo el problema, lo que el usuario no ve. Mientras esto pasa, y presta atención a este mensaje, en un segundo plano se está instalando todos los componentes que la amenaza requiere para operar de forma exitosa.
Desde ESET han detectado la presencia de un módulo que se encarga de la comunicación con el servidor control remoto. Sathurbot posee la habilidad de actualizarse de manera automática. Si bien WordPress es el CMS que aglutina un mayor porcentaje, hay otros como Joomla o Drupal que también se han visto afectados, aunque en menor medida.
Debido a que los ciberdelincuentes están encontrando en la configuración de la cuenta de gestión direcciones de correo electrónico, han optado por probar suerte en estos servicios. Aunque no resulta recomendable, los usuarios suelen reutilizar las contraseñas en diferentes servicios, lo que implica que si uno se ve afectado es posible que el resto también lo haga.
WordPress es la plataforma más utilizada sin discusión en la actualidad, por lo que es vital tomar en cuenta todos los riesgos posibles. Esto, porque al ser más popular, también se ve expuesta a más vulnerabilidades, haciéndola el foco de atención de ciberdelincuentes.
Sin embargo, este panorama ha venido variando, gracias al trabajo de los desarrolladores, quienes han podido robustecer la seguridad de WordPress, para así ponerse a la altura de lo que sus usuarios esperan.
