Infección de sitios wordpress con malware de falsas actualizaciones de Adobe Flash

Los hackers no descansan y aprovechan cualquier vulnerabilidad para infectar sitios web e insertar malware que a su vez infecta ordenadores a través de los navegadores.

WordPress (gestor de contenidos que se usa, por ejemplo, en este blog) puede verse afectado por lo que se recomienda actualizar las versiones tan pronto se publican, porque cierran vias de ataque a los hackers y spammers.

Si usas wordpress y no has sido suficientemente rápido, puede que tu sitio web se haya podido ver afectado.

Si es el caso, repasa los temas visuales que determinan el aspecto del web, que suelen estar ubicados bajo el directorio wp-contents/themes

Es habitual que los hackers los utilicen para sus ataques.

Procura tener una copia limpia del tema utilizado, y ante cualquier duda, revisa los archivos header.php y footer.php porque son los que habitualmente modifican los spammers para introducir los scripts de javascript que realizan las descargas desde el mismo sitio web o desde otro, también infectado.

Cualquier URL sospechosa que veas en los ficheros header o footer puede acabar siendo ejecutada por el index.php de la home page que luce un script parecido a este <script type="text/javascript" src="http://www.url.com/js/12345.php"></script>
visible en el código html que define lo que se visualiza en el navegador, por ejemplo proponiendo una flasa actualización del Adobe Flash «necesaria para ver la página»

Si detectas problemas, utiliza tu copia limpia del tema para transmitirlo por ftp a tu sitio web. Y revisa el resto de temas, porque posiblemente estarán también infectados.

Hay algunos plug-ins de seguridad que pueden ayudarte a encontrar los problemas. Por ejemplo el de Wordfence.

Aunque estas recomendaciones de seguridad son válidas en términos generales, son de especial interés estos días porque una infección de sitios web en wordpress se está utilizando para propagar un tipo de malware de tipo ransonware denominado «Cryptorbit 3» o «h0w decrypt». 

De modo que si al acceder a un sitio web has aceptado instalar una «actualización de Adobe Flash» posiblemente has quedado infectado. Este tipo de virus cifra ficheros y solicita un rescate para permitir su descifrado.

Herramientas antimalware como Malwarebytes ayudan a eliminarlo, pero es importante reaccionar muy rápidamente para evitar perder los ficheros cifrados por el ransomware. Si en el ordenador está activada la función de shadow copy, se pueden recuperar los ficheros dañados. 

Hay más información sobre Cryptorbit (y otros malwares) en Bleeping Computer.