Hackers habrían tomado por asalto cientos de sitios que utilizan WordPress y Joomla como base para distribuir ransomware y phishing. Esto ha sido reportado por expertos de seguridad de la empresa Zscaler, quienes descubrieron malware en un directorio oculto de los sitios HTTPS que busca infectar o redireccionar a los usuarios a otros sitios.
Los hackers han escondido una serie de archivos en el directorio /.well-known/, el cual se utiliza para demostrar la propiedad del dominio ante una autoridad de certificación. Estos directorios comúnmente incluyen un token que es validado por autoridades como GlobalSign, cPanel, ACME y otras.
Para sacar provecho de esta vulnerabilidad, los hackers buscan sitios de WordPress o Joomla que se encuentran desactualizados, tanto en la versión del CMS, como en los plugins o temas. De acuerdo con Zscaler, los directorios son infectados con el ransomware Troldesh— también conocido como Shade — así como backdoors, redireccionadores y páginas de phishing.
Los investigadores indican que hay más de 500 sitios vulnerados y confirman que ya se han puesto en contacto con los dueños de estos dominios para advertirles de esta situación.
Estos sitios tratarán de obtener las credenciales de acceso de las personas que no se fijen en la barra de direcciones.
Filosofía 