Durante el fin de semana, se ha conocido una nueva campaña maliciosa que ha afectado a más de 100.000 sitios basados en WordPress alrededor del mundo, y sigue activa. Sucuri halló que Google colocó en la lista negra cerca de 11 mil dominios a raíz de este malware que proviene de un sitio denominado "SoakSoak" con extensión .ru, utilizado como vector de propagación, lo cual dio el nombre a la amenaza en cuestión.

Según explica The Hacker News, una vez infectado el sistema, el sitio basado en WordPress tendrá un comportamiento irregular, por ejemplo, haciendo redirecciones a páginas SoakSoak.ru. También se podrían descargar archivos maliciosos automáticamente, sin que el usuario lo sepa.

Ahora bien, ¿cómo funciona la amenaza? Según investigadores de Sucuri, el malware podría estar explotando la vulnerabilidad en el plugin Slider Revolution y parece ser un drive-by-download, aunque no hay muchos más detalles sobre las capacidades y especificaciones del ataque. Llegaron a esa conclusión a través de análisis forense en varios de los sitios afectados, y concluyeron que puede haber una relación con la falla en el complemento usado para mostrar diapositivas.

"Encontramos una serie de exploits que apuntan al plugin, ataques al complemento han aumentado, y un gran porcentaje de sitios afectados lo habían tenido instalado -en el sitio, o en elaguna parte del entorno", le dijo Tony Perez,CEO de Sucuri, a SC Magazine.

Tal como explica Fayerwayer, SoakSoak modifica el archivo wp-includes/template-loader.php para forzar la realización del módulo wp-includes/js/swobject.js en todas las páginas, lo cual resulta en la ejecución del código Javascript que contiene el script para cargar la amenaza. La desinfección, según Ars Technica, incluye remover el código malicioso añadido al un script, aunque The Guardian afirma que intentos de limpiar los dos archivos infectados sería solamente eficiente en forma temporal, ya que se han observado re-infecciones luego de ejecutar el proceso.

Un dato algo preocupante es que Slider Revolution no es fácilmente actualizable al tratarse de un plugin "premium", y muchos administradores de sitios pueden no saber que lo tienen integrado en sus plantillas o temas, lo que ocasiona que la actualización no se haga en forma automática. Por tal motivo, y como de costumbre, los webmasters deberán estar alertas para evitar que sus sitios se vean comprometidos.

Quienes se pregunten si hay chances de que sus sitios estén infectados, podrán encontrar respuestas en esta discusión sobre SoakSoak en el sitio oficial de WordPress; además, está disponible un sitio para hacer un scan y detectar malware, errores y software desactualizado.