Ataque a OptinMonster compromete más de 1,2 millones de sitios WordPress

Un sofisticado ataque a la cadena de suministro ha puesto en riesgo a miles de sitios web WordPress tras comprometer la infraestructura de distribución de contenidos (CDN) utilizada por Awesome Motive para distribuir archivos JavaScript de sus populares plugins OptinMonster, TrustPulse y PushEngage.

El incidente, descubierto por los investigadores de seguridad de Sansec, permitió a los atacantes distribuir código malicioso directamente desde servidores legítimos de contenido, afectando potencialmente a más de 1,2 millones de sitios web que utilizan estas herramientas de marketing, generación de leads y optimización de conversiones.

Cómo ocurrió el ataque a la CDN de Awesome Motive

Según el análisis de Sansec, los ciberdelincuentes lograron introducir scripts maliciosos en archivos JavaScript distribuidos a través de la CDN de Awesome Motive. Debido a que estos archivos eran cargados desde una fuente considerada confiable por los administradores de sitios web, el código malicioso se ejecutaba sin levantar sospechas.

La investigación reveló que los scripts infectados estuvieron activos el 12 de junio durante una ventana relativamente corta para OptinMonster y TrustPulse. Sin embargo, el impacto fue suficiente para comprometer sitios web administrados por usuarios que visitaron sus paneles de WordPress mientras el código malicioso estaba activo.

En el caso de PushEngage, el malware permaneció disponible durante más tiempo, extendiéndose hasta el día siguiente antes de ser eliminado.

Malware diseñado para atacar administradores de WordPress

Uno de los aspectos más preocupantes de esta campaña es que el malware no afectaba a los visitantes comunes del sitio web. En cambio, estaba específicamente diseñado para activarse cuando un administrador de WordPress accedía a cualquier página del portal comprometido.

Una vez ejecutado, el código malicioso recopilaba tokens de autenticación, nonces de seguridad y otros elementos necesarios para obtener privilegios elevados dentro del sistema.

Con esta información, los atacantes podían crear nuevas cuentas administrativas sin autorización, garantizando acceso persistente incluso después de que el código malicioso fuera retirado de la CDN.

Este enfoque demuestra un alto nivel de planificación y conocimiento de la arquitectura de WordPress, ya que el objetivo principal era tomar control completo del sitio sin alertar inmediatamente a los propietarios.

Instalación de puertas traseras y acceso remoto completo

Tras obtener privilegios administrativos, los atacantes instalaban un plugin oculto diseñado para mantener acceso permanente al entorno comprometido.

Los investigadores identificaron que este complemento malicioso incluía funcionalidades avanzadas de control remoto, entre ellas:

• Creación y gestión de cuentas administrativas ocultas.
• Ejecución arbitraria de código PHP.
• Instalación de web shells.
• Manipulación de archivos del servidor.
• Comunicación remota con infraestructura controlada por los atacantes.
• Robo continuo de credenciales y datos sensibles.

Además, el malware establecía comunicación con un dominio que imitaba a la plataforma Tidio, una táctica utilizada para evadir la detección y aparentar tráfico legítimo.

Según Sansec, los operadores cambiaban constantemente el nombre visible del plugin malicioso mientras mantenían exactamente la misma funcionalidad interna.

Entre las denominaciones observadas se encuentran:

• Content Delivery Helper (v2.7.1)
• Database Optimizer (v2.9.4)

Esta técnica dificulta la identificación del malware por parte de administradores y herramientas básicas de seguridad.

El origen de la brecha: una vulnerabilidad en UpdraftPlus

Awesome Motive confirmó posteriormente que los atacantes obtuvieron acceso inicial explotando una vulnerabilidad conocida en el plugin UpdraftPlus para WordPress.

La empresa explicó que el servidor comprometido formaba parte de su infraestructura de marketing y no estaba conectado a los sistemas de producción ni a las plataformas que almacenan información de clientes.

No obstante, dicho servidor contenía credenciales asociadas a la cuenta CDN utilizada para distribuir archivos JavaScript a millones de instalaciones de WordPress.

Tras obtener estas credenciales, los atacantes utilizaron la clave API de la CDN para modificar los archivos legítimos y distribuir código malicioso directamente desde la infraestructura oficial de Awesome Motive.

Los archivos afectados fueron:

• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
• You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Debido a que estos recursos procedían de dominios legítimos, los mecanismos tradicionales de seguridad tuvieron dificultades para detectar la actividad maliciosa.

Medidas adoptadas por Awesome Motive

Tras descubrir el incidente, Awesome Motive implementó una serie de acciones de contención y respuesta para limitar el alcance del ataque.

Entre las medidas anunciadas destacan:

• Eliminación inmediata del contenido malicioso.
• Migración del sitio de marketing comprometido a una nueva infraestructura.
• Rotación de todas las credenciales expuestas.
• Revocación y reemplazo de la clave API de la CDN.
• Investigación forense del incidente.
• Verificación de la integridad de los sistemas de producción.

La compañía afirmó que no existen evidencias de acceso a bases de datos de clientes, información personal o sistemas centrales relacionados con OptinMonster y TrustPulse.

Asimismo, aseguró que los servidores de aplicaciones, repositorios de código fuente y plataformas de alojamiento de plugins permanecieron intactos durante el incidente.

Qué deben hacer los administradores de WordPress

Aunque Awesome Motive ya eliminó los scripts maliciosos de la CDN, los expertos advierten que muchos sitios podrían seguir comprometidos.

La razón es que las cuentas administrativas fraudulentas y los plugins de puerta trasera instalados durante el ataque continúan proporcionando acceso a los atacantes.

Por ello, los administradores de WordPress deben realizar una revisión exhaustiva de sus sistemas lo antes posible.

Las acciones recomendadas incluyen:

1. Revisar cuentas de administrador sospechosas

Buscar usuarios no autorizados con nombres similares a:

• developer_api1
• dev_xxxxxx

Cualquier cuenta desconocida debe ser eliminada inmediatamente.

2. Inspeccionar la carpeta de plugins

Verificar manualmente el directorio:

• wp-content/plugins

y buscar complementos desconocidos o sospechosos, especialmente aquellos que aparenten ser herramientas de optimización o distribución de contenido.

3. Ejecutar análisis de malware

Realizar escaneos desde el lado del servidor utilizando herramientas especializadas capaces de detectar puertas traseras ocultas y modificaciones en archivos críticos.

4. Rotar credenciales

Cambiar inmediatamente:

• Contraseñas de administradores.
• Claves API.
• Credenciales de bases de datos.
• Secretos de autenticación.
• Llaves de seguridad de WordPress.

5. Revisar registros de actividad

Analizar logs de acceso, cambios de usuarios y modificaciones de archivos para identificar actividad sospechosa durante el período del incidente.

Un recordatorio del creciente riesgo de los ataques a la cadena de suministro

Este incidente vuelve a demostrar por qué los ataques a la cadena de suministro se han convertido en una de las amenazas más peligrosas para el ecosistema digital moderno.

En lugar de comprometer directamente a miles de víctimas, los ciberdelincuentes atacan proveedores confiables, plataformas de distribución o componentes ampliamente utilizados para multiplicar el alcance de sus operaciones.

Cuando un servicio utilizado por millones de sitios web es comprometido, incluso durante unos minutos, el impacto potencial puede extenderse rápidamente a organizaciones, comercios electrónicos y empresas de todo el mundo.

Para los administradores de WordPress, este caso subraya la importancia de implementar monitoreo continuo, auditorías periódicas de seguridad y controles de integridad capaces de detectar modificaciones inesperadas incluso cuando provienen de fuentes aparentemente legítimas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login