Una campaña del 'malware' WP3.XYZ afecta a más de 5.000 sitios web de WordPress

El equipo de ingenieros de seguridad de c/side ha descubierto este procedimiento, aunque aún deconoce el vector de infección inicial, por lo que continúa investigando, tal y como han señalado en un comunicado publicado en su blog.

Para infectar los equipos, el script malicioso crea cuentas de administrador no autorizadas con un nombre de usuario y una contraseña que se pueden encontrar en el propio código. A continuación, descarga un complemento fraudulento de WordPress y lo activa en el sitio web ya comprometido.

A partir de entonces, este complemento malicioso, que ha afectado a más de 5.000 sitios en todo el mundo, recopila datos confidenciales almacenados en el dispositivo, como credenciales de administrador y registros de operaciones. Finalmente, los envía a un servidor remoto para un uso fraudulento posterior.

La firma de ciberseguridad ha recomendado una serie de medidas para prevenir este 'malware', para que los que los propietarios de los sitios web bloqueen el dominio 'wp3.xyz'. También ha propuesto monitorizar las cuentas de administrador de WordPress para detectar usuarios no autorizados.

También ha aconsejado eliminar complementos sospechosos y validar los existentes, así como emplear 'firewalls' y herramientas de seguridad como la autentificación multifactor (MFA, por sus siglas en inglés) para protegerse de los denominados ataques de falsificación de solicitud entre sitios (CSRF).