Malware Clickandanalytics WordPress Pop-ups

Recientemente, un nuevo cliente se puso en contacto para informarme sobre un problema que estaba experimentando en su sitio web. Los usuarios que visitaban su página estaban siendo víctimas de redirecciones que le llevaban a otra página de descargas maliciosas, y desde otro equipo, el cliente recibía una advertencia del antivirus AVG que indicaba que su sitio web estaba infectado por HTML:Script-inf [Sup].

Amenaza HTML:Script-inf [Sup]
El término «HTML:Script-inf» indica que se ha encontrado un script infectado dentro del código HTML de la página web. Estos scripts maliciosos pueden ser utilizados para realizar una variedad de acciones no deseadas, como la instalación de malware en el dispositivo del usuario, el robo de información confidencial o la realización de actividades fraudulentas. La designación «[Sup]» puede variar dependiendo del programa antivirus específico que esté utilizando.

A continuación realizamos un análisis en profundidad de la amenaza del navegador que incluye métodos prácticos sobre cómo fortalecer sus defensas en línea y evitar futuras infecciones

Análisis malware collect.clickandanalytics[.]com/trackstart

Código malicioso en header.php

Malware Clickandanalytics WordPress

El malware collect.clickandanalytics[.]com/trackstart infecta el archivo header.php. Si la cuenta de alojamiento contiene varios sitios de WordPress, todos pueden verse afectados por el mismo malware.

Ya he confirmado varios casos de contaminación entre sitios, este es solo un ejemplo.

Malware Clickandanalytics WordPress 2023
Dominio malicioso:

dominio malicioso

Las redirecciones maliciosas son técnicas utilizadas por los ciberdelincuentes para desviar a los usuarios hacia sitios web peligrosos o fraudulentos. En el caso del sitio web de nuestro cliente, el botón de teléfono estaba siendo manipulado para redirigir a los visitantes a páginas que intentaban descargar software malicioso en sus dispositivos. Estos intentos de descarga pueden incluir malware, como virus, ransomware o spyware, que pueden comprometer la seguridad de los usuarios y sus datos.

Las redirecciones maliciosas pueden tener consecuencias graves tanto para el propietario del sitio como para los visitantes. Para el propietario del sitio, esto puede resultar en una disminución de la confianza de los usuarios, daño a la reputación en línea y posibles repercusiones legales. Para los visitantes, el riesgo de descargar software malicioso puede llevar a la pérdida de datos personales, robo de información confidencial, acceso no autorizado a cuentas y otros problemas de seguridad.

Cómo limpiar el malware cdn.clickandanalytics.com/trackstart

  1. Examina el código fuente de tu sitio web en busca de cualquier manipulación o inyección de código malicioso. Busca cambios inusuales o líneas de código sospechosas.
  2. Deje de usar software obsoleto, revise cada componente del sitio y asegúrese de que solo está usando complementos y temas legítimos y actualizados.
  3. Revisa la estructura de archivos web, usuarios con derechos de administrador, busca spam SEO y revisa cuentas FTP, trabajos Cron, acceso SSH, etc.
  4. Implementa medidas de seguridad adicionales para prevenir futuras redirecciones maliciosas.
  5. Verifique el sitio web con la consola de búsqueda de Google y solicite una reindexación, lo más probable es que el caché de Google todavía tenga malware.
  6. Preste atención a las futuras actualizaciones de seguridad disponibles y aplíquelas lo antes posible.
  7. Trabaje con un desarrollador y sugiérale que revise manualmente cada componente del sitio, incluidos complementos, temas y archivos principales. si no tiene uno, contácteme para el trabajo: limpiamos y mantenemos los sitios infectados diariamente.

Notas:

  1. La plataforma de scripts está vinculada con el malware clickandanalytics, y ambos ataques pueden infectar todos los archivos header.php, index.php en la cuenta de alojamiento. Dado que el riesgo de contaminación entre sitios es alto, vale la pena verificar si la cuenta de alojamiento contiene varios proyectos de WordPress. Ya he confirmado varios casos de contaminación cruzada.
  2. Es importante encontrar y eliminar los scripts de puerta trasera instalados; los piratas suelen volver después de un tiempo para recuperar el acceso completo al sitio web.
  3. Cualquier usuario sospechoso con derechos de administrador, complemento o tema debe ser revisado cuidadosamente.

URLS maliciosas:

URLS maliciosas

IP maliciosas:

  • 185.56.234.205,
  • 185.177.94.152,
  • 2.59.222.113,
  • 91.238.104.193,
  • 185.162.85.3,
  • 134.209.192.77,
  • 116.202.2.30,
  • 185.155.18 4.98.

Dominios maliciosos:

  • 0.glowersfornightmare.com,
  • redlabelsky.com,
  • win-bonuses.life,
  • datingspicyhere.life,
  • 0.flowersforsunshine.com,
  • 0.desirepurplestock.com,
  • w-news.biz,
  • azkcqs.com,
  • shbzek.com,
  • ulmoyc .com.

Servicio de Desinfección de WordPress

Si sospechas que tu sitio web ha sido comprometido con el malware clickandanalyticsu otro tipo de malware, puedo ayudarte a tomar medidas inmediatas para limpiar y proteger tu sitio. Esto puede implicar el escaneo y la eliminación del malware, así como la implementación de medidas de seguridad adicionales.

CONTACTO