Una vulnerabilidad crítica en un popular plugin de WordPress puede permitir a hackers secuestrar sitios web de criptomonedas orientados al usuario. Esta vulnerabilidad potencialmente crea oportunidades para que actores maliciosos inyecten páginas de phishing, enlaces de monederos falsos y redirecciones maliciosas.
Aunque este fallo no afecta los backends de monederos o contratos de tokens, expone la infraestructura de front-end que los usuarios utilizan para interactuar de manera segura con servicios de criptomonedas. Aunque el plugin ha sido parcheado, decenas de miles de sitios permanecen desprotegidos, ejecutando versiones desactualizadas.
El potencial de estafa de un plugin de WordPress
Los crímenes relacionados con criptomonedas están por las nubes en este momento, y muchos vectores inesperados pueden generar nuevos ataques de estafa.
Por ejemplo, un reciente informe de Patchstack, una firma de seguridad digital, revela un nuevo exploit de WordPress que podría potencialmente habilitar nuevas estafas de criptomonedas.
“El plugin Post SMTP, que tiene más de 400,000 instalaciones, es un plugin de entrega de correos electrónicos. En las versiones 3.2.0 y anteriores, el plugin es vulnerable a múltiples vulnerabilidades de Control de Acceso Roto en sus endpoints de la API REST… permitiendo a cualquier usuario registrado (incluyendo usuarios de nivel Suscriptor que no deberían tener privilegios) realizar una variedad de acciones,” afirmó la empresa.
Estas funciones incluían: ver estadísticas de recuento de correos electrónicos, reenviar e-mails y ver registros detallados de correos electrónicos, incluyendo el cuerpo completo del correo.
Un hacker de WordPress podría usar esta vulnerabilidad para interceptar correos electrónicos de restablecimiento de contraseñas, potencialmente tomando control de cuentas de administrador.
Entonces, ¿Cómo podría esta vulnerabilidad de WordPress llevar a estafas de criptomonedas? Desafortunadamente, las posibilidades son prácticamente infinitas. Los correos electrónicos falsos de soporte al cliente han sido instrumentales en muchos intentos de phishing recientes, por lo que el control limitado de correos electrónicos ya es peligroso.
Un sitio comprometido que use WordPress podría insertar tokens falsos y sitios web de estafa en enlaces externos usando scripts maliciosos y redirecciones.
Los hackers podrían recolectar contraseñas e intentar usarlas en una lista de exchanges. Incluso podrían inyectar malware en cada usuario que abra una cierta página.
¿Están seguros mis monederos? ¿Cómo estar protegido?
Sin embargo, la mayoría de los monederos de criptomonedas y plataformas de tokens no usan WordPress para su infraestructura principal. Sin embargo, a menudo se utiliza para funciones orientadas al usuario como páginas de inicio y soporte al cliente.
Si un proyecto pequeño o nuevo sin un sólido equipo de ingeniería es comprometido, las brechas de seguridad podrían pasar desapercibidas. Las cuentas de WordPress infectadas podrían recopilar información de usuarios para futuras estafas o dirigir directamente a los clientes a intentos de phishing.
Por suerte, Patchstack lanzó rápidamente una solución para este error en particular. Pero más del 10% de los usuarios de Post SMTP no la han instalado. Eso significa que alrededor de 40,000 sitios web son vulnerables al exploit, representando un gran riesgo de seguridad.
Los usuarios de criptomonedas con experiencia deben mantener la calma y ejercer prácticas de seguridad estándar. No confíen en enlaces de correos electrónicos aleatorios, manténganse con proyectos de confianza, usen hardware wallets, etc. La mayor responsabilidad recae en los propios operadores de los sitios.
Si un pequeño proyecto de criptomonedas ejecuta un sitio de WordPress sin descargar la solución de Patchstack, los hackers podrían usarlo para impulsar una lista interminable de estafas. En resumen, los usuarios de criptomonedas deberían estar seguros siempre que ejerzan precaución con proyectos no mainstream.
El post Una brecha silenciosa en WordPress podría poner en riesgo tus criptomonedas fue visto por primera vez en BeInCrypto.
BeInCrypto
