Malware WP-VCD está siendo propagado por medio de complementos pirateados sobre COVID-19


El malware WP-VCD fue visto por primera vez en Julio de 2017 por un experto en ciberseguridad quien notó que un código malicioso era cargado por medio de una llamada del archivo “wp-vcd” y inyectado en código malicioso dentro de los archivos del núcleo de WordPress, como “functions.php” y “class.wp.php”. Los ataques continuaron evolucionando a través de los meses, donde se detectó una nueva variante del malware, que inyectó código malicioso en los archivos legítimos de dos temas predeterminados (“twentyfifteen” y “twentysixteen”) incluidos en CMS de WordPress en 2015 y 2016. Por reportes realizados por expertos en el mes de noviembre del 2019, dicha campaña se reactivó con alta actividad, infectando a varios sitios web con el malware, el cual inyectaba una puerta trasera en cualquier tema y en algunos archivos PHP instalados en el sitio web. 

WP-VCD también tiene la característica de comprometer otros sitios web que estén compartiendo el mismo host. Donde dichos sitios son utilizados para mostrar ventanas emergentes o implementar sistemas de dirección de tráfico.

Ejemplo de anuncio mostrado por WP-VCD


Actualmente dos grupos de investigadores han encontrado otra variante para la propagación de WP-VCD, utilizando complementos (plugins) pirateados que comparten la misma intención maliciosa, sus nombres son “COVID-19 Coronavirus - Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” y “Covid-19”.

Los complementos (plugins) contienen un archivo llamado “class.plugin-modules.php”, el cual contiene código malicioso, además de varias cadenas codificadas en base64, relacionadas con complementos maliciosos de WP-VCD.

Archivo class.plugin-modules.php


Justo después de que el plugin es instalado, tomará el código codificado en base64 en la variable “WP_CD_CODE” (mostrada en la imagen anterior a este párrafo), guardandola en el archivo “/wp-includes/wp-vcd.php”, con el fin de anteponerse al archivo “wp-includes/post.php” para que cargue automáticamente “wp-vcd.php” cada vez que una página se carga en el sitio web.

Código para crear el archivo “wp-vcd.php”



Los investigadores recomiendan que la mejor manera para evitar que un sitio web se infecte de malware como WP-VCD, es nunca descargar complementos (plugins) de sitios web no autorizados, debido a que los plugins pueden ser fácilmente modificados por cualquiera con un moderado conocimiento de PHP, lo que significa que el descargar e instalar plugins piratas siempre será un riesgo.

Desde Arkavia Networks podemos concluir que actualmente se está viendo un aumento de campañas para distribuir malware, por causa de la pandemia COVID-19, aprovechándose de la ansiedad y preocupación que provoca. Es por ello que recomendamos siempre ser cautelosos y evitar descargar, ejecutar o instalar cualquier programa, complemento o documento de dudosa procedencia.




Indicadores de Compromiso (IoCs)

coronavirusspread110n.zip (SHA-256)
41231094279d97465f8f85399ea3039ca0b7519a2a205a265163254f84b84f9b

covid19-plugin-wp.zip (SHA-256)
e555509b83f74d126f63a207c0879feb22cd003f7bd0a35eb7290445192084f5

115133_coronavirusspread110n.zip (SHA-256)
8071a4602080a148e8bdd3021d5e3461c805534e0e46520787c05b2ac2489a0a

covid19-102.zip (SHA-256)
948009373243b1f30f55ba35a66c0687cd2f0d2e213607969fba71a828345033






COMENTARIOS

Nombre

Actualizaciones,4,Adobe,1,Adware,3,AgentTesla,1,android,31,Antivirus,3,APP,1,Apple,16,Apps,13,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,4,ciberseguridad,114,Cisco,1,Citrix,3,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,5,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,9,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,Eventos,5,Exchange,2,exploit,5,Exploits,11,Extensiones,1,Extensions,1,F5 Networks,1,Facebook,8,Firewall,1,Firmware,2,Framework,1,Gmail,1,GoDaddy,1,google,31,Hacking,83,Hardware,7,Hosting,3,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,Linux,7,Malware,37,Malwares,32,MFA,1,Microsoft,32,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,15,Plugins,1,Protocolos,12,Python,1,Ransomware,14,RAT,1,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,3,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,Videoconferencia,1,VPN,3,Vulnerabilidad,20,Vulnerabilidades,71,Web,7,WhatsApp,5,wifi,5,Windows,12,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Malware WP-VCD está siendo propagado por medio de complementos pirateados sobre COVID-19
Malware WP-VCD está siendo propagado por medio de complementos pirateados sobre COVID-19
https://1.bp.blogspot.com/-jCKs3vWurLg/Xn44y0hN-3I/AAAAAAAAB68/jqcFm7w2Mvc0p2bo_NLR3r39TZSsTX4ggCLcBGAsYHQ/s640/WP-VCD%2BMalware%2BCODVID19%2BPirate%2BPlugins.jpg
https://1.bp.blogspot.com/-jCKs3vWurLg/Xn44y0hN-3I/AAAAAAAAB68/jqcFm7w2Mvc0p2bo_NLR3r39TZSsTX4ggCLcBGAsYHQ/s72-c/WP-VCD%2BMalware%2BCODVID19%2BPirate%2BPlugins.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/malware-wp-vcd-esta-siendo-propagado.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/malware-wp-vcd-esta-siendo-propagado.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy