Malware Clickandanalytics WordPress Pop-ups

Recientemente, un nuevo cliente se puso en contacto para informarme sobre un problema que estaba experimentando en su sitio web. Los usuarios que visitaban su página estaban siendo víctimas de redirecciones que le llevaban a otra página de descargas maliciosas, y desde otro equipo, el cliente recibía una advertencia del antivirus AVG que indicaba que su sitio web estaba infectado por HTML:Script-inf [Sup].

A continuación realizamos un análisis en profundidad de la amenaza del navegador que incluye métodos prácticos sobre cómo fortalecer sus defensas en línea y evitar futuras infecciones

Análisis malware collect.clickandanalytics.com/trackstart

Código malicioso en header.php

El malware collect.clickandanalytics.com/trackstart infecta el archivo header.php. Si la cuenta de alojamiento contiene varios sitios de WordPress, todos pueden verse afectados por el mismo malware.

Ya he confirmado varios casos de contaminación entre sitios, este es solo un ejemplo.

Dominio malicioso: https://collect.clickandanalytics.com/trackstart

Las redirecciones maliciosas son técnicas utilizadas por los ciberdelincuentes para desviar a los usuarios hacia sitios web peligrosos o fraudulentos. En el caso del sitio web de nuestro cliente, el botón de teléfono estaba siendo manipulado para redirigir a los visitantes a páginas que intentaban descargar software malicioso en sus dispositivos. Estos intentos de descarga pueden incluir malware, como virus, ransomware o spyware, que pueden comprometer la seguridad de los usuarios y sus datos.

Las redirecciones maliciosas pueden tener consecuencias graves tanto para el propietario del sitio como para los visitantes. Para el propietario del sitio, esto puede resultar en una disminución de la confianza de los usuarios, daño a la reputación en línea y posibles repercusiones legales. Para los visitantes, el riesgo de descargar software malicioso puede llevar a la pérdida de datos personales, robo de información confidencial, acceso no autorizado a cuentas y otros problemas de seguridad.

Cómo limpiar el malware cdn.clickandanalytics.com/trackstart

1. Trabaje con un desarrollador y sugiérale que revise manualmente cada componente del sitio, incluidos complementos, temas y archivos principales. si no tiene uno, contácteme para el trabajo: limpiamos y mantenemos los sitios infectados diariamente.
2. Deje de usar software obsoleto, revise cada componente del sitio y asegúrese de que solo está usando complementos y temas legítimos y actualizados.
3. Examina el código fuente de tu sitio web en busca de cualquier manipulación o inyección de código malicioso. Busca cambios inusuales o líneas de código sospechosas.
4. Revisa la estructura de archivos web, usuarios con derechos de administrador, busca spam SEO y revisa cuentas FTP, trabajos Cron, acceso SSH, etc.
5. Verifique el sitio web con la consola de búsqueda de Google y solicite una reindexación, lo más probable es que el caché de Google todavía tenga malware.
6. Implementa medidas de seguridad adicionales para prevenir futuras redirecciones maliciosas
7. Preste atención a las futuras actualizaciones de seguridad disponibles y aplíquelas lo antes posible.

Notas:

1. La plataforma de scripts está vinculada con el malware clickandanalytics, y ambos ataques pueden infectar todos los archivos header.php, index.php en la cuenta de alojamiento. Dado que el riesgo de contaminación entre sitios es alto, vale la pena verificar si la cuenta de alojamiento contiene varios proyectos de WordPress. Ya he confirmado varios casos de contaminación cruzada.
2. Es importante encontrar y eliminar los scripts de puerta trasera instalados; los piratas suelen volver después de un tiempo para recuperar el acceso completo al sitio web.
3. Cualquier usuario sospechoso con derechos de administrador, complemento o tema debe ser revisado cuidadosamente.

URLS maliciosas:

• https://get.clickandanalytics.com/f8c5xq
• https://cdn.clickandanalytics.com/track
• https://come.clickandanalytics.com/went.php
• https://come.clickandanalytics.com/to.php?check=35&pid=346364&sid=4367
• https://collect.clickandanalytics.com/trackstart
• https://statistic.scriptsplatform.com/collect
• https://click.clickandanalytics.com/take
• https://cdn.clickandanalytics.com
• https://statistic.scriptsplatform.com ( decoded from the Javascript file )

IP maliciosas:

• 185.56.234.205, 185.177.94.152, 2.59.222.113, 91.238.104.193, 185.162.85.3, 134.209.192.77, 116.202.2.30, 185.155.18 4.98.

Dominios maliciosos:

• 0.glowersfornightmare.com, redlabelsky.com, win-bonuses.life, datingspicyhere.life, 0.flowersforsunshine.com, 0.desirepurplestock.com, w-news.biz, azkcqs.com, shbzek.com, ulmoyc .com.