Tener un sitio web seguro para anunciar y visitar es una de las políticas que los propietarios de sitios web deben seguir al ejecutar campañas publicitarias con Google Ads. ‘Compromise Website’ es una de las políticas que provocará que se rechace una campaña publicitaria en un sitio web. Básicamente, esto significa que el sitio web ha sido pirateado o comprometido de alguna manera, lo que lo hace inseguro para los usuarios.
En esta publicación, exploraremos la inyección de código malicioso en sitios web de WordPress para redirigir a los usuarios a sitios web de spam. Aunque este código malicioso específico se descubrió hace varios meses, todavía se utiliza activamente y podría convertirse en una de las razones por las que se rechazaron las campañas publicitarias del propietario del sitio web.
Hemos atendido casos en los que propietarios de sitios web informaron que Google había rechazado sus anuncios debido a una infracción de la política del «Sitio web comprometido» y estaba relacionado con el problema de compromiso que se analiza a continuación.
Campañas publicitarias de Google rechazadas
Cuando se rechaza una campaña publicitaria, la mayoría de los propietarios de sitios web encontrarán advertencias en su panel de Google Ads y, por lo general, no tiene información detallada sobre el contenido que se detectó en el sitio web:
En algunos casos, los representantes de Google Ads pueden proporcionar detalles adicionales durante la respuesta de la primera apelación para volver a revisar la infracción de la política. En este caso, rechazaron el anuncio debido a una URL sospechosa encontrada en el sitio web:
Podemos confirmar la URL sospechosa encontrada en el destino de redireccionamiento cuando realizamos una verificación cruzada con herramientas como WebCheck:
Código PHP malicioso colocado dentro del complemento WPCode
Desafortunadamente, el complemento WPCode se ha convertido en uno de los complementos a los que recurren los atacantes para ayudar en la actividad maliciosa en sitios web comprometidos, específicamente la inyección de código malicioso. En la mayoría de los casos, los atacantes insertan código JavaScript malicioso en un complemento similar a WPCode para inyectar el código en el sitio web, que sería visible en la fuente de visualización del sitio web.
Sin embargo, en este caso particular, notamos que el código insertado era código PHP malicioso, que se representará y no será visible en la fuente de visualización del sitio web, lo que dificultará su seguimiento externo:
Para esta inyección de código PHP malicioso, existen tres Principales estructuras que los atacantes han creado para operar eficazmente en los sitios web comprometidos:
1) La primera estructura intenta ocultar la visibilidad de la instalación y el descubrimiento de WPCode por parte de los usuarios administradores de WordPress a través del código que se muestra a continuación:
2) En la segunda estructura, incluyen un mecanismo de puerta trasera para el código con valor de cookie codificado en base64 para cambiar posiblemente el dominio controlado por el atacante y crear una cuenta de administrador de WordPress de puerta trasera:
3) El objetivo final de esta inyección es redirigir al usuario objetivo desprevenido a una URL maliciosa, donde las URL maliciosas se obtendrán del registro TXT de los subdominios generados dinámicamente del dominio controlado por el atacante, que en este caso es webdmonitor.[.]io, y ejecutado a través de la función API de WordPress de wp_redirect():
Perspectivas de Imunify360
Según los datos correlacionados de nuestros registros, descubrimos que estos tipos de infecciones todavía se utilizan activamente y nuestro escáner detectó el código malicioso dentro de los sitios web comprometidos:
- Mayo de 2024: 6.100 sitios web
- Junio de 2024: 6.583 sitios web
- Julio de 2024: 20.194 sitios web
- Agosto de 2024: 20.967 sitios web
- Septiembre de 2024: 23.623 sitios web
- Octubre de 2024: 25.228 sitios web
- Noviembre de 2024 (hasta el 14 de noviembre): 19.302 sitios web
Lista de atacantes de dominio maliciosos que utilizan para este tipo de infección:
- monitor web[.]io (registrado el 7 de octubre de 2024 y utilizado en octubre de 2024)
- cndatalos[.]com (registrado el 19 de agosto de 2024 y utilizado en octubre de 2024)
- enrutamiento cdn[.]com (registrado el 8 de julio de 2024 y utilizado desde julio hasta octubre de 2024)
- registros-web[.]com (registrado el 23 de abril de 2024 y utilizado entre mayo y julio de 2024)
- registros de aire[.]net (registrado el 23 de abril de 2024 y utilizado en mayo de 2024)
- verificación de datos[.]world (registrado el 8 de noviembre de 2024 y actualmente en uso en la naturaleza)
Automitigación de esta inyección de código malicioso
Al solucionar este tipo de infecciones, necesitaremos verificar si el complemento WPCode se instaló o no en la instalación de WordPress. Si es administrador de servidor y tiene acceso SSH al servidor, puede ejecutar comandos como:
encontrar /casa/
O si estamos paranoicos pensando que el directorio del complemento podría cambiarse:
encontrar /casa/
O si es propietario de un sitio web, puede consultar en el Administrador de archivos de su cPanel dentro del directorio wp-content/plugins.
Una vez que hayamos confirmado que WPCode está instalado, podemos iniciar sesión en el panel de administración de wp del sitio web. Como se mencionó anteriormente, la primera parte del código malicioso que estamos analizando intenta ocultar el complemento WPCode para que no se descubra dentro del panel de administración de wp. En este caso, podemos acceder al directorio del panel de complementos con una URL de muestra a continuación:
https://
Este código malicioso generalmente se inyecta dentro de “Fragmento sin título”. Para solucionar este problema, puede eliminar esta entrada o desinstalar inmediatamente el complemento desde la página de Complementos.
Para recuperar la segunda parte del código malicioso, es posible que también deba revisar las cuentas de administrador de WordPress y eliminar cualquier cuenta de administrador desconocida que pueda servir como puerta trasera para volver a infectar su sitio web.
También se recomienda restablecer la contraseña de las cuentas conocidas de WordPress y las credenciales de la base de datos dentro del archivo wp-config.php como procedimiento posterior a la corrección, y asegurarse de que todos los temas, complementos y temas de WordPress obsoletos estén actualizados para minimizar los riesgos de seguridad y la reinfección. .
Conclusión
Cuando los problemas de compromiso en un sitio web se solucionan y se consideran seguros para que los usuarios los visiten, el equipo de anuncios de Google debe revisar la apelación una vez que se haya realizado. Si están en la misma página, los anuncios deberían volver a habilitarse.
La infección que se analiza en este artículo solo cubre un pequeño porcentaje de la amplia variedad de razones por las que se rechazan los anuncios de Google, pero vale la pena discutirla ya que todavía se usa activamente en la naturaleza. Siempre se recomienda agregar capas de protección a su servidor y sitio web para protegerlo de problemas de compromiso e infecciones más nuevas y complejas.
Sitios web protegidos por Inmunificar360 debería estar a salvo de este tipo de infecciones maliciosas y otras. Si es necesario, nuestros analistas experimentados siempre están aquí para abordar sus problemas de seguridad o malware.
________________________________________________
En este espacio, compartimos las últimas novedades del mundo del Cloud Hosting y las actualizaciones más destacadas de nuestros socios comerciales. Aquí encontrarás tendencias, innovaciones y oportunidades clave que están transformando nuestra industria. 💡🌐
Gracias por acompañarnos en este viaje. 💙 ¡Te invitamos a explorar y ser parte del futuro digital con nosotros!
