Formularios reCAPTCHA falsos para engañar usuarios a través de sitios de WordPress comprometidos

Formularios reCAPTCHA falsos engañan a los usuarios a través de sitios de WordPress comprometidos

Investigadores de Sucuri estuvieron persiguiendo una serie de sitios web de WordPress que se quejaban de redireccionamientos no deseados y encontraron sitios web que utilizan formularios CAPTCHA falsos para que el visitante acepte notificaciones web push.

Estos sitios web son una nueva ola de una campaña que aprovecha muchos sitios de WordPress comprometidos

¿Qué es el CAPTCHA?

CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”) es una de las molestias que hemos aprendido a dar por sentadas cuando navegamos por Internet. Los científicos desarrollaron CAPTCHA como un método para distinguir a los humanos de los bots a fin de evitar que los bots accedan a sitios o sistemas donde no son bienvenidos.

Google compró y posee reCAPTCHA, que representa un sistema CAPTCHA desarrollado expresamente para reducir la cantidad necesaria de interacción del usuario. La versión original pedía a los usuarios que descifraran texto difícil de leer o que hicieran coincidir imágenes. La versión 2 requería que los usuarios descifraran el texto o hicieran coincidir las imágenes si el análisis de las cookies y la representación del lienzo sugerían una descarga automática de la página. Desde la versión 3, reCAPTCHA no interrumpe a los usuarios y se ejecuta automáticamente cuando los usuarios cargan páginas o hacen clic en botones.

Sobre la campaña maliciosa

Los sitios CAPTCHA falsos son parte de una campaña de larga duración responsable de inyectar scripts maliciosos en sitios web de WordPress comprometidos. Esta campaña aprovecha las vulnerabilidades conocidas en los temas y complementos de WordPress y ha impactado a una enorme cantidad de sitios web a lo largo de los años.

Todos los sitios web comprometidos comparten un problema común. Los actores de amenazas inyectaron JavaScript malicioso dentro de los archivos y la base de datos del sitio web afectado. Los atacantes intentaron infectar automáticamente cualquier archivo .js con jQuery en el nombre, en un sitio web comprometido. Luego inyectaron código ofuscado cuando tuvieron éxito. Este JavaScript malicioso se agregó debajo del script actual o debajo del encabezado de la página donde se activaba cada vez que se cargaba una página, redirigiendo a los visitantes del sitio al destino elegido por el actor de la amenaza.

El equipo de inteligencia de amenazas de Malwarebytes rastreó el tráfico de un afiliado deshonesto que fluía a través del mismo subdominio local[.]drakefollow[.]com que se mencionó en el blog de Sucuri. El autor de la amenaza eligió promocionar un producto de seguridad legítimo en este caso, pero también podría haber llevado a los visitantes a programas potencialmente no deseados (PUP), adware o estafas de soporte técnico.

Fuente: blog.malwarebytes.com

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies