Un importante número de pequeñas páginas personales basadas en Wordpress 3.2.1 han sido recientemente comprometidas y están siendo usadas como host para redirigir a víctimas de campañas de spamm y phishing hacía el exploit kit Phoenix.

Cyberseguridad.net Wordpress

En los últimos días investigadores del laboratorio de seguridad M86 han detectado un gran número de webs, todas ellas basadas en Wordpress 3.2.1, que han sido comprometidas y a través de un iFrame oculto en un solo documento html, redirigen al visitante hacia una página que hospeda el exploit kit Phoenix.

Esta página html no es la principal, lo que podría atraer más atención de la deseada, sino una página personalizada a la cual dirigen a víctimas de campañas de spamm y phishing. Esto lo hacen para aprovecharse de la buena reputación de estos sites hackeados a la hora de redirigir a las víctimas del spamm. Una vez que estos clickan en el enlace y son dirigidos a estas páginas, el iFrame oculto les manda al host del exploit. Está página, hospedada en Rusia, identifica el sistema del visitante y le sirve una página de ataque personalizada. Entonces el kit empieza a funcionar tratando de atacar agujeros de seguridad en Internet Explorer, Adobe PDF, Flash y Java y si tiene éxito en alguno de ellos envía una versión del troyano Cridex, que esencialmente se dedica al robo de datos de la víctima.

En este aspecto y para evitar este tipo de amenazas sobre tu propio Wordpress o cualquier otro cms es el de mantenerte totalmente actualizado ya que el riesgo de ataque será a priori más bajo.

Fuente