Portaltic.-Encuentran una puerta trasera para la minería de criptomonedas a través de un 'plugin' falso de WordPress

Publicado 21/10/2019 14:03:07CET
Encuentran una puerta trasera para la minería de criptomonedas a través de un 'p
Encuentran una puerta trasera para la minería de criptomonedas a través de un 'p - PIXABAY - Archivo

   MADRID, 21 Oct. (Portaltic/EP) -

   Una empresa de seguridad ha lozalizado un 'plugin' falso de WordPress ubicado en varias páginas web hackeadas que funciona como una puerta trasera utilizada por los atacantes para la ejecución de forma no autorizada de un código para la minería de criptomonedas.

   De acuerdo con una investigación realizada por la empresa de seguridad Securin, WordPress presenta un 'plugin' que aunque aparentemente sea legímitimo en realidad se trata de un 'plugin' falso que permite que los agentes que lo hayan implantado tengan un acceso no autorizado a WordPress.

   De acuerdo con la compañía, este tipo de 'malware' tiene la peculiaridad de que permite el acceso al entorno web de la página "incluso después de que el vector de infección inicial haya sido limpiado", sobreviviendo así a limpiezas de 'malware' e incluso migraciones de sitio web.

   Un 'plugin' es un complemento de la web que se relaciona con otro complemento para añadirle una función nueva a la misma y que interactúan por medio de la interfaz de programación de aplicaciones. En el caso de WordPress, una plataforma para la creación de nuevas páginas web, estos 'plugins' se utilizan para añadir funcionalidades a las mismas como insertar un reloj con cuenta atrás en las publicaciones, entre otras.

   El 'plugin' falso se denomina 'wpframework' y fue descubierto por la agencia de seguridad en septiembre al esta analizar su código. En él, aparece como autor wordpress.org como si de un 'plugin' legítimo se tratara. Ha sido encontrado en varias páginas web del entorno WordPress, según Securin.

   El comportamiento que sigue este 'plugin' se basa en que, una vez instalado, este comprueba si hay alguna función desactivada. Seguidamente, va en busca de las funciones 'system' (sistema), 'exec' (ejecución) y el protocolo 'passthru', lo que permite tener un control de ejecución de los comandos "a nivel de servidor", según la compañía de ciberseguridad.

   Esto posibilita que, junto con la combinación de una serie de parámetos, se puede utilizar también como una puerta trasera, para que los hackers puedan pasar los controles de seguridad y ganar un nivel de acceso más alto para acceder a información personal y financiera, instalar 'malware' adicional o secuestrar dispositivos.

   Este es un comportamiento habitual en el que caso de agentes maliciosos, según señala la compañía, sin embargo, lo característico de este 'plugin' es que contiene un archivo 'minero' de criptomonedas, lo que indica que uno de los objetivos del mismo es aplicarlo a esta labor.

   Cuando el 'plugin' se descarga, este cambia los permisos y ejecuta un archivo binario de Linux, es decir, para la versión de 64 bit o de 32 bit del sistema operativo. Sin embargo, la empresa afirma que cuando han revisado esta parte del código, han encontrado que el directorio del 'plugin' malicioso ya incluía un archivo binario que se trataba de un 'minero' de criptomonedas que ya ha sido identificado por múltiples antivirus.