La empresa de seguridad Wordfence ha observado un aumento en las infecciones de puerta trasera en los sitios de WordPress administrados por GoDaddy e informan de un hackeo masivo en 24 horas. Cientos de sitios se infectan al día.
Los analistas de seguridad de Wordfence detectaron por primera vez la actividad maliciosa el 11 de marzo de 2022. Observaron 298 sitios web infectados mediante la técnica de puerta trasera en solo 24 horas. 281 de ellos estaban alojados en GoDaddy.
Otros proveedores de alojamiento, incluidos MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet y Host Europe Managed WordPress también estaban siendo infectados.
La campaña utiliza principalmente plantillas de spam farmacéuticas. Según los investigadores, los hackers intentan que los usuarios compren productos falsificados, pero no solo eso. Los piratas informáticos también quieren robar los datos personales.
Ataques difíciles de detectar
Este tipo de ataque es el más difícil de detectar y detener por parte del usuario. De hecho, esto sucede en el servidor y no en el navegador. Como tal, los dispositivos de seguridad de Internet no pueden detectar actividades sospechosas.
No se ha determinado el vector de intrusión. Los analistas sospechan de un ataque a la cadena de suministro, pero no confirman esta hipótesis. GoDaddy ya ha sido informado, pero aún no se ha pronunciado sobre este asunto.
Como recordatorio, GoDaddy ya sufrió una violación de datos en noviembre de 2021. Este incidente afectó a 1,2 millones de clientes y varios proveedores de servicios administrados de WordPress. Para los sitios web alojados en la plataforma WordPress administrada de GoDaddy, los expertos en ciberseguridad de Wordfence recomiendan escanear el archivo wp-config.php para localizar posibles inyecciones de puerta trasera.
