Sumario:
- FACUA alerta de una campaña de ‘phishing’ que busca robar las cuentas de los usuarios de YouTube.
- Una vulnerabilidad en un ‘plugin’ de WordPress pone en riesgo millones de sitios web.
FACUA alerta de una campaña de ‘phishing’ que busca robar las cuentas de los usuarios de YouTube
FACUA-Consumidores en Acción se hace eco de que Youtube ha alertado de una campaña de correos electrónicos maliciosos que suplantan su marca con el objetivo de robar las cuentas de los usuarios con el pretexto de un supuesto cambio en las políticas de monetización de la plataforma.
Algunos usuarios de la plataforma de vídeo de Google han denunciado la recepción de un correo electrónico desde la dirección no-reply@youtube.com. Youtube ha confirmado que no tiene nada que ver con ellos y que es un intento de estafa que ya está investigando.
En concreto, se trata de una campaña de phishing que busca acceder a las cuentas de las potenciales víctimas haciéndose pasar por YouTube, como han alertado desde el perfil de Twitter de TeamYouTube.
Este correo malicioso notifica un supuesto cambio en las políticas de monetización e incluye un enlace para descargar la nueva documentación en un plazo de siete días. La plataforma ha advertido de que hay que ser cautos ante este tipo de comunicaciones y no descargar ni acceder a ningún enlace adjunto.
Una vulnerabilidad en un ‘plugin’ de WordPress pone en riesgo millones de sitios web
FACUA-Consumidores en Acción también se hace eco de que una vulnerabilidad presente en un plugin de WordPress ha puerto en riesgo millones de sitios web creados con esta plataforma, ya que permite a un actor malicioso acceder como administrador y tomar el control del sitio con todos los privilegios.
Elementor Pro es un plugin para WordPress que permite a los usuarios crear páginas web de apariencia profesional de forma sencilla, sin que sea necesario que sepan programar. Está instalado en más de once millones de páginas.
Los investigadores de NinTechNet, una empresa que ha diseñado una aplicación web firewall para WordPress, ha identificado una vulnerabilidad en Elementor Pro, que han calificado de gravedad alta, como recogen en su blog oficial.
Esta error se encuentra en la versión premium del plugin y su explotación requiere tener WooCommerce habilitado en el sitio web, de tal forma que da acceso a la página de registro, donde un actor malicioso podría crear una cuenta con privilegios de administrador.
Jerome Bruandet, de NinTechNet, descubrió la vulnerabilidad el 18 de marzo, en la versión 3.11.6 (y anteriores) de Elementor Pro. Los investigadores de Patchstack han confirmado que la vulnerabilidad se ha explotado de forma activa, y por ello es recomendable instalar cuando antes la corrección que ya ha preparado Elementor (3.11.7), disponible desde el 22 de marzo.
5
