MAILCHIMP DICE QUE FUE HACKEADO, OTRA VEZ

 

Créditos de la imagen  :Rafael Henrique / SOPA Images / LightRocket 

(se abre en una nueva ventana)/ Getty Images

El gigante del marketing por correo electrónico y boletines informativos Mailchimp dice que fue pirateado y que docenas de datos de clientes fueron expuestos. Es la segunda vez que la compañía es hackeada en los últimos seis meses. Peor aún, esta violación parece ser casi idéntica a un incidente anterior.

La compañía propiedad de Intuit dijo en una publicación de blog no atribuida que su equipo de seguridad detectó un intruso el 11 de enero accediendo a una de sus herramientas internas utilizadas por el servicio de atención al cliente y la administración de cuentas de Mailchimp, aunque la compañía no dijo durante cuánto tiempo estuvo el intruso en sus sistemas, si se sabía. Mailchimp dijo que el hacker atacó a sus empleados y contratistas con un ataque de ingeniería social, en el que alguien utiliza técnicas de manipulación por teléfono, correo electrónico o texto para obtener información privada, como contraseñas. El hacker luego usó esas contraseñas de empleados comprometidas para obtener acceso a los datos de 133 cuentas de Mailchimp, que la compañía notificó de la intrusión.

Una de esas cuentas objetivo pertenece al gigante del comercio electrónico WooCommerce. En una nota a los clientes, WooCommerce dijo que Mailchimp le notificó un día después que la violación podría haber expuesto los nombres, las direcciones web de la tienda y las direcciones de correo electrónico de sus clientes, aunque dijo que no se tomaron contraseñas de clientes u otros datos confidenciales.

WooCommerce, que construye y mantiene populares herramientas de comercio electrónico de código abierto para pequeñas empresas, confía en Mailchimp para enviar correos electrónicos a sus clientes. Se dice que WooCommerce tiene más de cinco millones de clientes.

Si todo esto suena vagamente familiar, es porque lo es. En agosto pasado, Mailchimp dijo que fue víctima de un ataque de ingeniería social que comprometió las credenciales de su personal de atención al cliente, otorgando al intruso acceso a las herramientas internas de Mailchimp. En esa violación, los datos de unas 214 cuentas de Mailchimp se vieron comprometidos, principalmente de criptomonedas y cuentas relacionadas con las finanzas. El gigante de la nube DigitalOcean confirmó que su cuenta se vio comprometida en el incidente y criticó duramente el manejo de Mailchimp de la violación.

Mailchimp dijo en ese momento que había implementado "un conjunto adicional de medidas de seguridad mejoradas", pero se negó a decirle a TechCrunch qué implicaban esas medidas. Con una repetición casi idéntica de su violación pasada, no está claro si Mailchimp implementó correctamente esas medidas mejoradas, o si esas medidas fallaron.

No está claro de inmediato quién, si alguien, es responsable de la ciberseguridad en Mailchimp tras la salida de su directora de seguridad de la información, Siobhan Smyth, poco después de la violación de agosto.

Cuando fue contactado por correo electrónico, el portavoz de Intuit, Derrick Plummer, se negó a responder las preguntas de TechCrunch, o decir quién era actualmente responsable de la seguridad en Mailchimp.

Fuente: techcrunch.com

TUS EMAILS ESTÁN LLENOS DE IMÁGENES INVISIBLES QUE PERMITEN ESPIARTE: CINCO MANERAS DE PROTEGERTE DE LOS PÍXELES DE SEGUIMIENTO

 

Tus e-mails te espían. En serio, no estoy siendo paranoico: la mayoría de los correos que llegan a nuestras bandejas de entrada cada día hacen uso de un sencillo sistema de seguimiento que permite saber cuáles de ellos abrimos y cuáles no. Lo usan, sobre todo, las empresas y departamentos de marketing para analizar el impacto de sus 'campañas masivas' y saber qué e-mail se abren y cuáles no.

Este método es el conocido como 'píxeles de seguimiento': se trata de pequeñas imágenes de 1x1 píxeles incrustadas en un e-mail que has recibido. Suelen ser ficheros en formato GIF o PNG, lo que permite también que la imagen sea transparente.

Y así, al abrirlo en tu cliente de e-mail favorito, nuestro equipo accede al servidor donde se almacena la imagen, lo que le permite registrar la interacción.

Así, el remitente no sólo es capaz de detectar si hemos abierto o no su correo, sino que también es capaz de saber cuántas veces lo hemos vuelto a abrir y, a no ser que usemos un servicio VPN, nuestra conexión le permitirá saber desde qué localización y dispositivo hemos accedido.

Más aún: hay estudios que demuestran que algunos anunciantes (y actores maliciosos) se dedican a vincular nuestra actividad con el e-mail con la que muestran nuestras cookies, lo que nos permite identificarnos desde donde sea que nos conectemos.

Nadie puede culpar a los responsables de marketing por recurrir a tan potente herramienta analítica... pero si valoras tu privacidad y no eres fan de tal ejercicio de monitorización encubierta, debes saber que hay formas de protegerse de estos píxeles de seguimiento.

Cinco pasos para protegernos

Los píxeles de seguimiento son, como hemos dicho antes, invisibles. Aunque los grandes clientes y plataformas de correo electrónico (como Gmail y Outlook) no nos advierten de su presencia antes de abrir el email, todavía tenemos varias opciones para no caer en su trampa:

• Recurrir a extensiones de terceros, como Ugly Email (sólo para Gmail), o Trocker (para Gmail, Yahoo y Outlook), que se integran con los clientes webs de e-mail para bloquear la apertura de los píxeles de seguimiento.

• Bloquear la apertura automática de los píxeles en seguimiento es algo que podemos hacer directamente desde nuestros clientes web de e-mail. En Gmail podemos acceder a "Configuración > General > Imágenes", y deseleccionar "Mostrar siempre imágenes externas". En Outlook, deberemos acceder a "General > Privacidad y datos > Imágenes externas".

Así se hace en Gmail

Así se hace en Outlook

• Utilizar servicios de protección de privacidad del correo, como el Email Protection de DuckDuckGo, que actúan como intermediarios entre nuestra cuenta de siempre y nosotros, evitando así que el servidor de origen pueda extraer datos de nuestro equipo.

• Olvidarnos de nuestra cuenta de siempre y optar por alguna que nos proteja por defecto de los emails de seguimiento, como hacen, por ejemplo Protonmail (muy centrado en la privacidad) o HEY.com (un servicio de pago que busca revolucionar el concepto de email).
  

Fuente: www.genbeta.com

¿NAVEGAS SEGURO POR INTERNET? REVISA ESTO Y EVITA QUE TE ESTAFEN

 

A la hora de navegar por Internet podemos enfrentarnos a muchos riesgos de seguridad. Hay muchos tipos de amenazas de malware capaz de robar contraseñas y de comprometer la privacidad. Sin embargo en la mayoría de ocasiones esto ocurre por errores que cometemos. ¿Navegas por Internet con seguridad? En este artículo vamos a hablar de qué debes revisar y evitar así problemas que puedan afectarte.

Qué revisar para navegar con seguridad

Los ataques informáticos en la red pueden ocurrir en cualquier momento, pero especialmente aumentan en determinadas épocas como la navidad. Evitar riesgos y navegar con total seguridad es fundamental para no tener problemas. Por ello es conveniente tener en cuenta las recomendaciones que vamos a dar para que las revises.

Antivirus instalado

Lo primero que debes tener en cuenta para navegar con seguridad es contar con un buen antivirus instalado. Este tipo de programas es esencial para no tener problemas. Puede detectar la entrada de virus y ayudar a eliminar cualquier software malicioso antes de que llegue a robar datos o perjudicar al sistema.

Hay muchas opciones disponibles. Algunas que funcionan muy bien son Windows Defender y Avast. Asegúrate siempre de contar con programas de seguridad de garantías, que realmente protejan tus datos en la red.

Dispositivo actualizado

¿Tienes la última versión del sistema operativo instalada? Esto es clave para no tener problemas de seguridad. Pueden surgir vulnerabilidades que son aprovechadas por los piratas informáticos para colar virus o llegar a robar información personal. Es fundamental corregir esos fallos lo antes posible.

Esto lo debes aplicar al propio sistema operativo, pero también a cualquier programa que utilices. Siempre pueden surgir vulnerabilidades y conviene tener las últimas versiones instaladas.

Navegador adecuado

Uno de los programas más importantes y que hay que proteger bien es el navegador. No importa si utilizas Google Chrome, Mozilla Firefox o cualquier otro. Debes asegurarte siempre de estar usando un buen programa, que esté actualizado y además mirar si lo has descargado desde fuentes oficiales y seguras.

Nuestro consejo es que siempre revises cualquier extensión que vayas a instalar, así como la versión del propio navegador. Evita agregar complementos que puedan ser peligrosos y no dejes nunca que la versión instalada se quede obsoleta. Es esencial contar siempre con las últimas versiones. Siempre puedes proteger el navegador con contraseña.

Cuentas protegidas bien

Por supuesto, otro punto que debes revisar para saber si navegas con seguridad por la red es mirar si tus cuentas están protegidas. Hablamos de la cuenta del correo electrónico, redes sociales y cualquier otra que puedas necesitar para tu día a día en la red. Es esencial que esté bien protegida y no tener problemas.

Para ello es fundamental tener una buena contraseña. Esa es la principal barrera que va a evitar intrusos. También debes activar siempre que sea posible la autenticación en dos pasos. Eso va a hacer que tu cuenta tenga una doble protección en caso de que la clave se llegara a filtrar.

Evitas sitios inseguros

Otro punto clave es evitar los sitios web que pueden ser un peligro. Hay muchas páginas falsas en la red que han sido creadas únicamente para estafar, para intentar robar datos. Huye de esos sitios y accede solo a páginas fiables, oficiales y que sepas que no van a representar ningún peligro para ti.

Por ejemplo, debes evitar entrar en sitios web a través de links extraños que recibes por correo, redes sociales o incluso SMS. Podría tratarse de un ataque Phishing con el objetivo de robar tus datos personales y acceder a tus cuentas.

En definitiva, para navegar con seguridad en la red conviene tener en cuenta estos factores que hemos explicado. Esto te ayudará a que no roben tus cuentas, ni te cuelen malware que pueda provocar un mal funcionamiento de tus dispositivos.

Fuente: https://www.redeszone.net

PAYPAL SUFRIÓ UN INCIDENTE Y EXPUSO INFORMACIÓN PERSONAL DE VARIOS USUARIOS

 La compañía confirmó que en diciembre de 2022 detectaron que terceros no autorizados tuvieron acceso a cuentas de usuarios Paypal utilizando sus credenciales de acceso.

  El miércoles 18 de enero Paypal lanzó un comunicado informando que sufrió un incidente de seguridad que afectó a una gran cantidad de cuentas Paypal. Según explicó la compañía, entre el 6 y 8 de diciembre de 2022 terceros no autorizados accedieron a cuentas de clientes utilizando sus credenciales de inicio de sesión.

Paypal informa que no hay evidencia de que las credenciales hayan sido obtenidas de los sistemas de Paypal, con lo cual las credenciales deben haber sido obtenidas de brechas de seguridad pasadas y lograron acceder mediante algún tipo de ataque de fuerza bruta.

PayPal dice no tener evidencia de que los datos de los usuarios hayan sido utilizado indebidamente como consecuencia del incidente. Según se detalla en el comunicado, durante esos dos días los atacantes tuvieron acceso a datos como nombre, dirección, número de seguro social, número de identificación tributaria o fecha de nacimiento. Pero es importante aclarar que el acceso a las cuentas de PayPal también permite obtener el historial de transacciones y obtener algunos datos de las tarjetas vinculadas.

Una de las primeras medidas que tomó la app fue a resetear las contraseñas de las cuentas afectadas en el incidente. De esta manera obligó a las personas a tener que establecer una nueva contraseña la próxima vez que inicie sesión.

De acuerdo a información que publica Bleeping Computer, el número de personas afectadas por este acceso indebido es de casi 35.000 cuentas. Además, afirman que se trató de un ataque que se conoce como credential stuffing, que es cuando cibercriminales de manera automatizada prueban con direcciones de correos y contraseñas que fueron filtradas en brechas pasadas hasta dar con alguna cuenta que siga utilizando esas mismas claves. 

Vale la pena recordar que el riesgo de que hayan tenido acceso a esta información está relacionado con la posibilidad de ser blanco de ataques de phishing o de robo de identidad. Los atacantes pueden comercializar estos datos o pueden incluso utilizarlos ellos mismos para realizar fraude.

Como recomendación más allá de cambiar la contraseña por una larga y segura para mayor tranquilidad, activar la autenticación en dos pasos para que la seguridad de la cuenta no recaiga exclusivamente en la contraseña.

Fuente: https://www.welivesecurity.com

LISTA DE VERIFICACIÓN PARA PROTEGER Y FORTALECER SU ENTORNO DE SERVIDOR

Esta lista de verificación de seguridad general puede servir como punto de partida para que las organizaciones mejoren la seguridad de sus servidores y su entorno. Como la tecnología detrás de la seguridad cibernética siempre está evolucionando, es importante mantener y actualizar regularmente sus sistemas de seguridad.

Administrar acceso al servidor

• No olvides la seguridad del servidor físico

• Permitir solo personal de confianza

• Mantener al personal consciente, informado y capacitado

• Administre el acceso a sus servidores e infraestructura crítica

• Restrinja las aplicaciones críticas y los archivos del sistema a los administradores

• Reducir el acceso físico a elementos sensibles

• por ejemplo, enrutadores, conmutadores, servidores, concentradores, etc.

Minimice la huella externa

• Instalar en una intranet

• Instalación/Configuración de Cortafuegos

• Examine las opciones para el acceso de usuarios externos , que incluyen:
• Requerir VPN y/o proxy inverso para conexiones de red externas
• Bloquea aún más el acceso directo a servidores/datos confidenciales

• Usar filtrado de IP

• Considere alojar con IIS

• Restringir/lista blanca rangos de direcciones IP

• Autenticación de certificado de cliente

• Otras reglas de autorización

• Considere un firewall de hardware, etc.

Endurecer la red

• Establecer una comprensión de la red, los componentes y los dispositivos.

• Minimizar los puertos de red abiertos

• Administre y audite el firewall y las reglas del firewall

• Use LAN virtual (VLAN)/segmentación de red para aislar el tráfico en subconjuntos de grupos

• Apague las interfaces no utilizadas, los puertos de conmutación, etc.

• Supervise y registre todos los intentos de acceso a los dispositivos de red

Vulnerabilidades de parches

• Mantenga navegadores y complementos actualizados

• Actualice el sistema operativo y otras aplicaciones

Minimizar la superficie de ataque

• Minimice el software innecesario en sus servidores

• Instalar en un Windows Server Core

• Eliminar componentes innecesarios del sistema operativo

• Los servicios innecesarios deben deshabilitarse

• Gestión de componentes/características: agregue lo que necesita, elimine lo que no necesita

Restringir el acceso de administrador

• Limite la membresía a usuarios/grupos administradores

• Cree varias cuentas de administrador con menos acceso

• Limite los servidores dedicados a las responsabilidades de administración

Mantenga el inventario actualizado

• Mantenga un registro de los activos

• Administrar componentes y dispositivos agregados a la red/entorno

• Cuando se introducen nuevos elementos

• Estado del dispositivo

• Actualizar los cambios realizados en esos dispositivos

Sepa lo que está pasando

• Revise periódicamente los registros para detectar actividades sospechosas

• Autenticaciones

• Actividad y cambios de acceso de usuario

• Elevación de privilegios y uso

• Mantenga el registro del servidor, monitoree periódicamente

• Duplicar registros en un servidor de registro separado

• Escaneos/auditorías del servidor: compruebe si hay malware/hacks

Minimizar los permisos de acceso de los usuarios

• Limite el acceso a la cuenta de usuario al mínimo privilegio necesario

• Agrupar el acceso de usuario/permisos por rol

• Restrinja la información confidencial solo a cuentas de confianza

• Administrar las consideraciones de seguridad de las cuentas del directorio de usuarios

• por ejemplo , seguridad de la cuenta de AD(enlace externo)

• El acceso elevado solo debe ser según sea necesario

• Eliminar usuarios de sistema operativo innecesarios

Establecer comunicaciones

• Utilice los mejores protocolos de cifrado de datos y suites de cifrado para sus comunicaciones

• Deshabilitar protocolos inseguros

Aplicaciones de software seguras

• Usar aplicaciones de seguridad, como antivirus/antimalware

• Elija productos de buena reputación, bien conocidos y bien probados

• Elija la configuración segura recomendada por el proveedor del software

• Mantenga las aplicaciones de seguridad actualizadas

• Use versiones estables con los últimos parches de seguridad

• Elimine aplicaciones de terceros innecesarias/inseguras, especialmente aquellas de baja reputación

Usar MFA e inicio de sesión único

• Requerir autenticación multifactor para cuentas de usuario, sistemas o elementos confidenciales

• Prefiera el inicio de sesión único para aplicaciones, minimice la necesidad de recordar/escribir contraseñas

Protección contra la pérdida de datos

• Use instantáneas regulares de VM, bases de datos/aplicaciones/copias de seguridad de archivos

• Categorizar datos: qué datos deben permanecer altamente disponibles

• Use las protecciones de recuperación ante desastres  (DR) y alta disponibilidad  (HA)

• Revise y practique periódicamente los pasos de recuperación

• Considere el software de prevención de pérdida de datos (DLP)

• Establezca un archivo periódico de sus datos en un sitio remoto/ubicación de almacenamiento de datos

Mayor endurecimiento/protección de credenciales

• Haga que los usuarios usen contraseñas o frases de contraseña muy seguras, especialmente para contraseñas administrativas

• Rotar credenciales y claves

• contraseñas con poca frecuencia, no las reutilice

• claves privadas periódicamente, si es posible

• Cambie los nombres de cuenta regulares de 'administrador' o 'invitado'

• Bloquee cuentas después de demasiadas fallas de inicio de sesión. Estos podrían ser intentos ilegítimos de obtener acceso.

• Nota: tenga cuidado con la configuración de políticas de bloqueo de directorios LDAP/AD, ya que algunas configuraciones podrían volverse propensas a bloqueos/problemáticas.

• Usar funciones de sistema operativo de bloqueo automático

Planes de respaldo

• Mantener copias de seguridad adecuadas

• Use privilegios de cuenta no elevados cuando sea posible

Evitar la deriva del tiempo

• Mantenga el reloj del servidor sincronizado

Fortalecimiento de sesiones remotas

• Asegure y monitoree SSH

• Cambiar el puerto por defecto

• Deshabilite los privilegios elevados cuando sea posible

• Use privilegios de cuenta no elevados cuando sea posible

Usar configuraciones de seguridad recomendadas

• Revise la configuración de seguridad recomendada de fuentes confiables, por ejemplo:

• Línea base de seguridad de Windows

• Herramientas y opciones de configuración relacionadas con la seguridad relevantes

• Puntos de referencia de la CEI

• Prácticas recomendadas para configurar un sistema de forma segura, orientación sobre los controles de CIS

• Destaca los cambios de configuración específicos que se asignan a los marcos regulatorios y de cumplimiento: 

• NIST Cybersecurity Framework (CSF), NIST SP 800-53, serie de estándares ISO 27000, PCI DSS, HIPAA, etc.

• Establezca una línea base de seguridad para su organización

Priorizar vulnerabilidades

• Identifique los riesgos más altos con los mayores impactos relevantes para sus activos críticos

• Consolide las vulnerabilidades y los riesgos cibernéticos en una sola lista

• Utilice mecanismos de puntuación modernos y sofisticados, por ejemplo:

• CVSS (Sistema Común de Puntuación de Vulnerabilidad)

• Análisis de gravedad

• Top 10 de OWASP

• Trabajar en conjunto con los equipos del departamento.

• Considere usar algunas automatizaciones de herramientas

 Fuente: https://pleasantpasswords.com

CUENTAS FALSAS EN TWITTER DE CASIO: UN OPORTUNISMO UTILIZADO PARA EL FRAUDE

El aumento de cuentas no oficiales de la marca CASIO en redes sociales promoviendo noticias falsas es un claro ejemplo del oportunismo de los estafadores que aprovechan temas de interés masivo para engañar a las personas. 

El lanzamiento de la nueva canción de Shakira y sus repercusiones que la marca de relojes CASIO tuviera muchísima exposición en los últimos días. La referencia que hace la artista colombiana a la marca en tono de ironía y la posterior reacción del ex jugador de fútbol hicieron que en gran parte de habla hispana se esté hablando de este tema. Sin embargo, pocas horas después de que se publicara el video con la canción, surgieron varias cuentas falsas haciéndose pasar por la marca CASIO. En algunos casos incluso lanzando falsos comunicados que algunos medios replicaron.

Puede parecer inofensivo, pero el ejemplo nos sirve para tomar conciencia de la velocidad con la que se propagan las noticias falsas y cómo el oportunismo de algunos actores puede ser utilizado para engañar a las personas, ya sea divulgando fake news o relizando alguna otra accción maliciosa.

En Twitter, la única cuenta verificada vinculada a CASIO es @CASIOedu. La misma aparece como División Educativa y cuenta con la marca de verificación. Desde este perfil oficial de CASIO alertaron sobre la existencia de perfiles falsos que se hacen pasar por oficiales y aseguran que ningún comunicado publicado en estas cuentas es legítimo.

Están apareciendo muchas cuentas en Twitter, Instagram y Tik Tok pretendiendo ser un medio oficial de CASIO. Recordamos la importancia de verificar las fuentes de información. Ningún comunicado o mensaje publicado en estas cuentas es oficial @CasioTeam @CasioOficial @Casio_Oficial pic.twitter.com/1QUHPoRY9E

División Educativa (@CASIOedu) January 15, 2023

Tras analizar estas cuentas observamos que algunas fueron creadas en enero de 2023. Otras fueron creadas en 2022, pero su primera publicación es del 13 de enero de 2023. Claramente esto muestra la intención de capitalizar el interés que despertó el lanzamiento de la canción y las reacciones que causó.

Si bien más allá de la publicación de falsos comunicados en nombre de la marca, no se ha reportado ningún intento de fraude vinculado a estas cuentas. Las personas deben estar atentas, ya que desde estas cuentas que se hacen pasar por legítimas pueden intentar vender un producto, solicitar datos personales o incluso pueden intentar vender la cuenta de Twitter cuando llegan a cierto número de seguidores.

Ya hemos visto algunos ejemplos de cómo utilizan cuentas falsas en redes como Twitter o Instagram para suplantar la identidad de marcas conocidas o bancos para robar información financiera.

Velocidad y oportunismo: una característica de los cibercriminales

Constantemente cubrimos fraudes a través de redes sociales, WhatsAPP o por correo electrónico y destacamos el oportunismo y la velocidad con la que se mueven los actores maliciosos para intentar capitalizar un tema que despierte interés para utilizarlos como parte de su ingeniería social. Si bien en este caso las cuentas falsas no han sido reportadas por engaños o fraudes, aunque sí por compartir fake news, el ejemplo nos brinda la oportunidad de tomar conciencia del oportunismo y la velocidad con la que trabajan los estafadores. Lo vimos claramente con la pandemia de la COVID-19, donde el cibercrimen utilizaron el miedo y la preocupación para distribuir todo tipo de fraudes.

Hoy el ejemplo de la cuentas falsas de CASIO en Twitter no representan hasta el momento algo grave. Sin embargo, si en lugar de una canción hubiese sido un tema de salud que desata el interés masivo, los riesgos de propagar noticias falsas podrían ser otros.

Fuente: https://www.welivesecurity.com

EL NUEVO MALWARE DE LINUX USA 30 ELEMENTOS PARA EXPLOTAR LOS SITIOS DE WORDPRESS DE PUERTA TRASERA

 

Un malware de Linux previamente desconocido ha estado explotando 30 vulnerabilidades en múltiples complementos y temas obsoletos de WordPress para inyectar JavaScript malicioso.

Según un informe del proveedor de antivirus Dr. Web , el malware se dirige a los sistemas Linux de 32 y 64 bits, lo que brinda a su operador capacidades de comando remoto.

La funcionalidad principal del troyano es piratear sitios de WordPress utilizando un conjunto de exploits codificados que se ejecutan sucesivamente, hasta que uno de ellos funciona.

Los complementos y temas específicos son los siguientes:

• Complemento de soporte de chat en vivo de WP

• WordPress - Publicaciones relacionadas con Yuzo

• Complemento personalizador de tema visual de lápiz amarillo

• Easysmtp

• Complemento de cumplimiento de WP GDPR

• Tema de periódico en el control de acceso de WordPress (CVE-2016-10972)

• Thim Core

• Insertador de código de Google

• Complemento de donaciones totales

• Publicar plantillas personalizadas Lite

• Administrador de reservas rápidas de WP

• Chat en vivo de Facebook por Zotabox

• Complemento de WordPress para diseñador de blogs

• Preguntas frecuentes de WordPress Ultimate (CVE-2019-17232 y CVE-2019-17233)

• Integración WP-Matomo (WP-Piwik)

• Códigos cortos de WordPress ND para Visual Composer

• Chat en vivo de WP

• Próximamente página y modo de mantenimiento

• Híbrido

Si el sitio web objetivo ejecuta una versión desactualizada y vulnerable de cualquiera de los anteriores, el malware obtiene automáticamente JavaScript malicioso de su servidor de comando y control (C2) e inyecta el script en el sitio del sitio web.

Código de redirección inyectado (Dr. Web)

Las páginas infectadas actúan como redireccionadores a una ubicación elegida por el atacante, por lo que el esquema funciona mejor en sitios abandonados.

Estas redirecciones pueden servir en campañas de phishing, distribución de malware y publicidad maliciosa para ayudar a evadir la detección y el bloqueo. Dicho esto, los operadores del autoinyector podrían estar vendiendo sus servicios a otros ciberdelincuentes.

Una versión actualizada de la carga útil que Dr. Web observó en la naturaleza también apunta a los siguientes complementos de WordPress:

• Complemento Brizy de WordPress

• Reproductor de vídeo FV Flowplayer

• WooCommerce

• Próximamente página de WordPress

• Tema de WordPress OneTone

• Complemento de WordPress de campos simples

• Complemento SEO de WordPress Delucks

• Creador de encuestas, encuestas, formularios y cuestionarios de OpinionStage

• Rastreador de métricas sociales

• Buscador de fuentes RSS de WPeMatico

• Complemento de revisiones enriquecidas

Los nuevos complementos a los que apunta la nueva variante indican que el desarrollo de la puerta trasera está activo en este momento.

Dr. Web también menciona que ambas variantes contienen una funcionalidad que actualmente está inactiva, lo que permitiría ataques de fuerza bruta contra cuentas de administradores de sitios web.

La defensa contra esta amenaza requiere que los administradores de los sitios web de WordPress actualicen a la última versión disponible los temas y complementos que se ejecutan en el sitio y reemplacen aquellos que ya no están desarrollados con alternativas compatibles.

El uso de contraseñas seguras y la activación del mecanismo de autenticación de dos factores debería garantizar la protección contra ataques de fuerza bruta.

Fuente: https://www.bleepingcomputer.com