Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/11/2014
Plugins y themes con puerta trasera son utilizados en campañas de Black Hat SEO
Cuando se descarga un programa pirateado se corre el riesgo de terminar infectando la computadora sin saberlo, pues es normal que vengan acompañados de regalos indeseados. Algo similar ocurre a nivel web con los llamados Nulled Scripts, estos son aplicaciones, themes y plugins modificados (pirateados) que no incluyen las limitaciones o licencias de los autores originales, por lo cual se pueden utilizar de forma gratuita.
Generalmente los webmasters que los utilizan saben que pueden venir con enlaces ocultos, presentar alguna vulnerabilidad o generar algún tipo de problema. Pero aún así son muy populares.
La empresa de seguridad Fox-IT ha publicado un informe en PDF con los resultados de una investigación que vienen realizando desde hace algún tiempo. Se encontraron con miles de themes y plugins modificados para WordPress, Joomla y Drupal que son utilizados en campañas de Black Hat SEO.
Todo comenzó con el análisis de un servidor que presentaba un tráfico sospechoso, descartando algunas de las posibles razones descubrieron rápidamente que se debía a un plugin de Joomla que el administrador del sitio había instalado recientemente.
El plugin venía con una puerta trasera y no se había descargado desde su fuente original, sino desde un sitio de terceros que ofrecía (y ofrece porque aún está online) gratuitamente todo tipo de themes y plugins modificados (nulled).
El sitio sólo es uno de los muchos similares que encontraron, todos ellos ofreciendo themes y plugins infectados. La lista completa se encuentra en el documento PDF de Fox-IT.
A medida que avanzaron con la investigación fueron descubriendo algunas cosas interesantes, por ejemplo el software que utilizan como puerta trasera se puede actualizar remotamente o de forma automática. Además cuentan con una gran cantidad de servidores para controlar a los sitios infectados y las comunicaciones entre ellos se realizan de forma cifrada.
Aunque podrían utilizar los sitios para propagar malware e incluso infectar a los visitantes de forma automática, el uso que les están dando es el Black Hat SEO. La puerta trasera que utilizan les permite inyectar texto y enlaces de forma oculta con una técnica denominada cloaking o encubrimiento, esto es, mostrarle a los visitantes del sitio el contenido normal y otro diferente lleno de enlaces y texto spam a los buscadores según el User-Agent y/o Hostname que utilicen.
De esta forma logran pasar desapercibidos por más tiempo ya que el administrador del sitio al analizar el código fuente no detecta nada extraño, sólo puede ver el contenido spam cuando observa el sitio como si fuera un buscador (cambiando por ejemplo su user-agent).
Se puede ver el artículo completo, con un análisis más detallado del problema en el blog de spamloco.