Gootloader, el malware que pone tu WordPress en peligro

Fecha: 2023-06-05 08:17:05

Autor: Alex Rubio

Se ha reportado un nuevo malware de descarga, llamado Gootloader, que está infectando todos los sitios web hechos con WordPress, inyectándoles cientos de páginas con contenido falso. Esta campaña de malware se ha infiltrado en sitios relacionados con la industria hotelera, el comercio minorista de alta gama, la atención médica, la música y las artes visuales, entre otros.

Modus operandi del malware

El objetivo principal de esta campaña de malware es atraer a un profesional de negocio hacia uno de los sitios web infectados y que haga clic en un enlace. Gootloader intenta recuperar la carga útil final, ya sea un ransomware, un troyano bancario o una herramienta de intrusión/ladrón de credenciales. Tras una investigación, las campañas de malware suelen ser idénticas ya que utilizan la misma técnica de cebo en foros de preguntas y respuestas.

Ejemplos con casos reales de infección de Gootloader

  1. Bufete de abogado: un empleado que estaba buscando en internet modelos de acuerdos comerciales relacionados con asistentes médicos. Este, encontró la página “falsa” en los primeros resultados de búsqueda. Un foro de preguntas y respuestas donde se hacía referencia a un enlace con el acuerdo que estaba buscando. Al hacer clic en el enlace, descargó el “documento” y al intentar abrirlo, ejecutó el malware.
  2. Empresa de consultoría: uno de los empleados estaba buscando en una web legítima el tratado internacional sobre el cambio climático. En este caso, el consultor quiso descargar un documento y, al hacerlo, ejecutó Gootloader.

Como ves, es algo que le puede pasar a cualquiera ya que son páginas web reales que tienen el malware inyectado. Por lo tanto, el usuario cree que realmente en la web y hace clic.

¿Cómo se han infectado los WordPress ?

Al menos pueden existir varias docenas de sitios WordPress infectadas con el malware para propagar los ataques. Dichos sitios, estaban cargados de páginas de blog falsas con las que actuarían. No está claro como estos sitios se han visto comprometidos inicialmente pero, según eSentire, podría haber sido a través de un complemento vulnerable o, posiblemente, el sitio web hecho con WordPress no ha sido parcheado.

¿Cómo evitar el malware?

Lamentablemente, este tipo de ataques como se alojan en sitios web legítimos, es difícil de identificar la amenaza como usuario. Para evitar ser víctima de este tipo de campañas de malware es importante prestar atención a lo que se descarga de internet. Algunos consejos que te podemos dar para evitarlo:

  • Si descargas un documento de internet y en la descarga se te entrega un archivo JavaScript, no lo abras. No obstante, también te puedes encontrar que documentos de Word y Excel tengan este malware.
  • Usa reglas de Reduccion de superficie de ataque de Windows para bloquear JavaScript y VBscript para que no inicien contenido descargado.
  • Fíjate siempre en la URL del sitio web antes de descargar los archivos. Asegúrate de que coincida la fuente (por ejemplo, Microsoft Teams debe provenir de un dominio de Microsoft).
  • Actualiza tu Wordpress y todos sus componentes para no infectar a tus visitantes ni tu página.

Si necesitas ayuda con la seguridad informática de tu negocio, no dudes en ponerte en contacto con nosotros.

Comparte en tus redes sociales

Compartir en Facebook Compartir en LinkedIn Compartir en Twitter Compartir en WhatsApp Compartir en Telegram