Desde hace unos días se ha comenzado a reportar gran cantidad de malware residente en blogs que utilizan WordPress en su versión 2.3.2. y 2.3.3.

Realizando una búsqueda en Google se pueden hallar alrededor de 40.000 sitios modificados a los cuales se le ha agregado una línea invocando un script dañino, como ya nos tienen acostumbrados los atacantes.

http://img217.imageshack.us/img217/5618/googlewz2.png

Al ingresar a cualquiera de estos sitios, se puede apreciar una supuesta imagen en la parte superior, pero que si se visualiza el código fuente en realidad es una llamada a una función JavaScript ofuscada y dañina que descarga un troyano al equipo del usuario.

http://img402.imageshack.us/img402/2055/codigokh3.png

Al momento de publicar el presente, se desconoce la metodología utilizada por los atacantes para modificar los sitios, pero se cree que puede ser una vulnerabilidad 0-day para esta plataforma o en un plugin de la misma que permitiría un ataque de SQL Injection.

Actualización 20:00: ya existen algunos conocidos blogs hispanos que están siendo bloqueados por Google debido a que presentan material peligroso:

http://img337.imageshack.us/img337/991/sitioox1.png

Al ingresar al sitio afectado, se redirige al usuario a un sitio que simula el Centro de Seguridad de Windows y además descarga un troyano que ESET NOD32 detecta por heurística como probably a variant of HTML/TrojanDownloader.Agent y un troyano detectado como Win32/Agent.NOZ.

http://img249.imageshack.us/img249/8946/deteccionvz2.png

Lamentablemente este tipo de acciones ya se ha transformado en normales y sitios inocentes pagan por ello.

FUENTE