Si usas el pluggin “Facebook-This”, ¡elimínalo!

Si usas el pluggin “Facebook-This”, ¡elimínalo!

El plugin es llamada “Facebook-this”, pero en el panel de WordPress y en su descripción, se le refiere nada más como “Facebook”:

Un plugin que permite a visitantes dar like o compartir en Facebook. Todo el mundo usa Facebook, y proveer a tus visitantes de una manera de dar un like a tu página, publicación o blog es muy importante. Puedes agregar el boton de Facebook de manera muy fácil y en muchos formatos disponibles. ¡No te pierdas la oportunidad de llegar a tu audiencia en Facebook, hay un poco más de un billón de usuarios!.

Esta descripción parece ser bastante estándar, y viendo el resto del código del plugin, parece ser que hace lo que dice que hace, pero viene con este pequeño bloque de código añadido:

<iframe src='hxxp://goo.gl/WCluK' width='0' height='0'></iframe>
<h1> <a href='#' rel='' title=''></a> </h1><iframe src='hxxp://goo.gl/WCluK' width='0' height='0'></iframe>

El código nada más envía una petición a hxxp://api.tqj.us/v3/link/creditbyversion/www.site.com/2/1 y recibe el contenido, para poder transmitir lo siguiente al sitio web comprometido.

¿Es Malicioso?

Técnicamente, no hay nada malicioso proveniente de este enlace, pero el hecho que tu sitio web sea usado para publicitar un sitio web externo a los motores de búsqueda, sin tu autorización, clasifica como “comportamiento malicioso”. Este es el giro en el spam SEO típico, que intenta manipular las posiciones en motores de búsqueda, abusando de sitios hackeados para ganar así más enlaces entrantes.

Una rápida búsqueda en Google revela otros sitios con la misma extensión instalada, todos con la misma URL de goo.gl siendo inyectada.

Al hacer otra búsqueda directa, buscando el enlace usado para obtener los iframes, identificamos los mismos enlaces de goo.gl.

Se pude concluir que el mismo enlace, api.tqj.us, está siendo usado en muchos otros sitios web.

Y aunque el impacto de esta inyección en particular no es significativo, se ha visto un uso bastante constante de los enlaces goo.gl inyectados desde mediados del 2015.

Si se selecciona uno de esos sitios de manera aleatoria y se comprueba su estado de seguridad con un escáner web; se ve la misma infección reflejada:

Otro punto que hace a éste plugin bastante sospechoso, es que el sitio web del autor está configurado para programmer.net, que parece falso. De acuerdo a La maquina del tiempo de Archive.org, este sitio web jamás ha alojado contenido legítimo. Siempre ha tenido una página de muestra, cortesía de su registrador, incluso desde su primera captura de pantalla en 1998.

Se ve el mismo problema ocurriendo potencialmente en miles de sitios web diferentes. Entonces, ¿qué pasaría si este enlace inocente a goo.gl cambia a algo más dañino, y empieza a distribuir kits de explotación o ransomware?

A pesar de que no se ha identificado tal comportamiento actualmente, es muy difícil predecir la manera en que los atacantes usarán estas máquinas.

Te recomendamos que si estás utilizando éste plugin, la elimines lo más pronto. También deberías revisar otros plugins y considerar eliminarlas/reemplazarlas si no han tenido actualizaciones por años o si han sido eliminadas del repositorio oficial de extensiones de WordPress.

Al utilizar algún tipo de monitoreo de seguridad te darás cuenta de inyecciones no deseadas que instalan temas y plugins maliciosas, que pueden abusar de tu sitio web si los recursos de terceros que usan para funcionar se vuelven dañinos.