Si tienes un servidor WordPress en alguno de tus sistemas, además de tener un cuidado extremo con las actualizaciones de seguridad - especialmente con el bug de XSS persistente que se ha estado explotando estos días - debes comprobar que que no esté troyanizado por algún bug anterior y esté robando los usuarios y contraseñas de todos los accesos desde la misma página de login.
Eso es lo que han detectado en ZScaler, donde han comprobado como hay una campaña de infección para servidores WordPress que están inyectando un ficheroJavaScript en la página de login, tal y como se puede ver en la imagen siguiente de un sitio infectado.
El fichero JavaScript inyectado, lo que está haciendo es interceptar los valores introducidos en el formulario de login y robar el usuario y las contraseñas para enviarlos a un servidor controlado por los atacantes. El código está ofuscado, pero al final está interceptando el submit del formulario de login, concatenando todos los valores enviados y codificándolos en Base64 para enviarlos a un servidor web remoto.
Esto es algo que ya hicimos nosotros cuando montamos la JavaScript Botnet usando un Proxy Anónimo y que utilizamos para hacer ataques dirigidos contra sitios infectando la caché de las víctimas con páginas de login con ficherosJavaScript troyanizados y que hoy en día se puede hacer fácilmente con BeEF. Aquí tienes la conferencia de Owning Bad Guys {and Mafia} using JavaScript Botnets donde se explica y se hace esta demostración de cómo de robar las contraseñas de un sitio con un JavaScript que intercepta el login de una web.
Si tienes un servidor WordPress revisa en detalle su seguridad, comprueba que el contenido externo que está cargando tu web es el que debe cargar y que no hay ningún fichero JavaScript remoto en la página de login.
No hay comentarios:
Publicar un comentario