Un keylogger está afectando más de 5 mil sitios de WordPress

Hace pocos meses se reveló que una gran cantidad de sitios web de WordPress contenían un malware de minería de criptomonedas, malware que ahora ha mutado y se ha transformado en un keylogger que recopila todo tipo de información que los visitantes de estos portales introducen. Expertos aseguran que esta amenaza viene dando problemas desde abril.

Todo empezó cuando un grupo de profesionales de la seguridad informática de la firma Sucuri descubrieron casi 5.500 sitios web que usaban este tipo de CMS, todos plagados de malware que llevaba a cabo actividades de minería de criptomonedas. Esto, lo dicho, modificó su comportamiento y se transformó de un problema que utilizaba los archivos functions.php de WordPress para ejecutar falsas peticiones de Cloudflare con el fin de establecer un WebScoket y que mostraba el mensaje ‘This Server is Part of Cloudflare Distribution Network’ a uno que ahora dice ‘This Server is Part of an Experimental Science Machine Learning Algorithms Project’.

¿Qué significa eso? Que la totalidad de espacios para insertar texto en la web se ha modificado. Se les ha añadido un manejador que envía los datos introducidos a la dirección wws://cloudflare.solutions:8085. Este keylogger tiene la capacidad de robar las credenciales de acceso a los perfiles de los usuarios del servicio web como incluso del propio WordPress. Siendo así, la gestión del CMS también se encuentra vulnerada.

¿Qué hacer al respecto? Si se es usuario de un WordPress afectado, hay que ubicar el archivo functions.php y buscar en él la función add_js_scripts para, acto seguido, borrarla. Luego se deben encontrar todas las sentencias donde se mencione la función eliminada y, también, borrarlas.