En DIGESIT, últimamente hemos tenido que ayudar a clientes con sus sitios web, ya que estos sufren de manera repentina un virus que por medio de redirecciones van infectando la web y esto ocasiona graves consecuencias, desde que las campañas activas en Google dejen de funcionar hasta la posibilidad de que su sitio web desaparezca.
Es importante que, por medio de este blog, pueda conocer de que se trata este virus, cómo ataca a las webs y que así pueda detectar con mayor rapidez si su página está atravesando este proceso, por otra parte, si ya su página web está infectada o no quiere que esto le pase, le mostraremos un video con las principales soluciones para que el virus deje de afectar a su sitio web y este no sufra las consecuencias.
¿De qué se trata el virus?
Los investigadores de Sucuri informaron que un virus infectó con éxito alrededor de 11,000 sitios web en los últimos meses. Aquí están los detalles compartidos por Sucuri en su informe técnico.
Es un hecho que, últimamente, varios sitios web de Google han sido explotados y abusados para propagar malware y otros componentes maliciosos, incluidos Google Ads, Google Home y Google Drive. De hecho, un estudio reveló que Google Drive representó el 50% de las descargas de documentos maliciosos de Office en 2022, estos links redireccionan a los visitantes a sitios pirateados. Según la investigación de Sucuri, las ULR redirige a los usuarios a sitios que muestran vistas fraudulentas de los anuncios de Google AdSense.
El escáner remoto SiteCheck de la empresa ha detectado más de 10.890 sitios infectados. La actividad se ha intensificado aún más recientemente, con 70 nuevos dominios maliciosos disfrazados de legítimos en 2023 y 2600 sitios infectados descubiertos en la web. Todos los sitios web infectados detectados por Sucuri usaban WordPress CMS. Estos tenían un script PHP ofuscado inyectado en los archivos legítimos de los sitios web, como index.php, wp-activate.php, wp-signup.php y wp-cron.php, etc.
¿Cómo funciona el ataque de este virus?
En los últimos dos meses, los investigadores de Sucuri identificaron más de 75 dominios URL pseudocortos vinculados con tráfico redirigido. Cabe señalar que casi todas las URL maliciosas parecen pertenecer al mismo servicio de acortamiento de URL. Algunos incluso imitan los nombres de los servicios de acortamiento populares, como Bitly. Los visitantes son redirigidos a una variedad de sitios web de baja calidad desarrollados en el CMS Question2Answer, y los temas de discusión están relacionados principalmente con criptomonedas o blockchain.
Los investigadores creen que podría ser intencional anunciar nuevas criptomonedas en un fraude de ICO de bombeo y descarga. Sin embargo, los investigadores están seguros de que el objetivo principal de este fraude publicitario es aumentar inorgánicamente el tráfico a los sitios que contienen el ID de AdSense para que los anuncios de Google puedan mostrarse para generar ingresos.
¿Cómo evade la detección?
Algunos de estos sitios maliciosos también inyectan un código ofuscado en «wp-blog-header.php». Este código funciona como una redirección para garantizar que el malware evade los intentos de desinfección. Se realiza esto cargándose en archivos que se ejecutan tan pronto como se reinicia el servidor de destino. “Dado que la inyección de malware adicional se encuentra dentro del archivo wp-blog-header.php, se ejecutará cada vez que se cargue el sitio web y lo re infectará. Esto garantiza que el entorno permanezca infectado hasta que se eliminen todos los rastros del malware”.
El malware oculta su presencia al suspender las redirecciones cuando un visitante inicia sesión como administrador o visita un sitio infectado, es decir, el código malicioso se oculta mediante la codificación Base64. Es por esto por lo que debe poner atención a ciertos factores que regularmente no tienen ese funcionamiento.
¿Cómo funciona este virus con los acortadores de URL en el ataque?
Cuando el usuario ingresa cualquier nombre de dominio en su navegador, se lo redirige a un servicio de acortamiento de URL real, por ejemplo, Cuttly o Bitly, pero estos no son acortadores de URL públicos genuinos. Cada dominio tiene unas pocas URL que funcionan y que redirigen a los visitantes a sitios de preguntas y respuestas con spam que incluyen la monetización de AdSense.
En una publicación de blog, el investigador de Sucuri, Ben Martin, declaró que “las puertas traseras descargan shells adicionales y un script de correo PHP Leaf desde un filestacklive de dominio remoto y los colocan en archivos con nombres aleatorios en los directorios wp-includes, wp-admin y wp-content..”
La campaña ha estado activa desde septiembre de 2022 y el reciente aumento de infecciones de sitios web se notó en enero de 2023. “En este punto, no hemos notado un comportamiento malicioso en estas páginas de destino. Sin embargo, en un momento dado, los operadores del sitio pueden agregar arbitrariamente malware o comenzar a redirigir el tráfico a otros sitios web de terceros”, señalaron los investigadores.
¿Cómo prevenir o atacar fácilmente este virus?
En DIGESIT nuestro objetivo es siempre ayudar a nuestros clientes y a las personas de interés a crecer mediante sus sitios web, por esto, hemos creado un video donde no solo sintetizamos de que se trata este virus, sino también le brindamos diferentes soluciones que mediante investigación y ayuda a nuestros clientes sabemos y garantizamos que su sitio web estará a salvo, puede verlo a continuación dando clic en el video.
¿Cuáles son las principales características de este virus?
Es muy importante que reconozca ciertos factores que no suelen ser frecuentes en el manejo o desarrollo usual de su página, estos serán los primeros indicadores de que el sitio web está sufriendo un virus.
- Comportamientos inusuales en el sitio web, mensajes, avisos, entre otros.
- Archivos perdidos o modificados.
- Advertencia del cortafuegos.
- Caída de las campañas en Google Ads.
- Entre otros.
Si después de toda esta información acerca de este virus de gusano desea que nuestro equipo experto te ayude a solucionarlo, solo debe contactarnos y su sitio web estará a salvo en el menor tiempo posible.
