Más de 17.000 sitios de WordPress comprometidos por Balada Injector

Más de 17.000 sitios web de WordPress se han visto comprometidos en el mes de septiembre de 2023 con un malware conocido como Balada Injector, casi el doble que en agosto.

De estos, se dice que 9.000 de los sitios web se han infiltrado utilizando un fallo de seguridad recientemente revelado en el plugin tagDiv Composer (CVE-2023-3169, puntuación CVSS: 6,1) que podría ser explotado por usuarios no autenticados para realizar ataques de secuencias de comandos entre sitios (XSS) almacenados.

"Esta no es la primera vez que la pandilla Balada Injector ha atacado vulnerabilidades en los temas premium de tagDiv", dijo el investigador de seguridad de Sucuri, Denis Sinegubko.

"Una de las primeras inyecciones masivas de malware que pudimos atribuir a esta campaña tuvo lugar durante el verano de 2017, donde se abusó activamente de los errores de seguridad revelados en los temas de WordPress de Newspaper y Newsmag".

Balada Injector es una operación a gran escala descubierta por primera vez por Doctor Web en diciembre de 2022, en la que los actores de amenazas explotan una variedad de fallas en los complementos de WordPress para implementar una puerta trasera de Linux en sistemas susceptibles.

El objetivo principal del implante es dirigir a los usuarios de los sitios comprometidos a páginas de soporte técnico falsas, premios fraudulentos de lotería y estafas de notificaciones automáticas. Más de un millón de sitios web se han visto afectados por la campaña desde 2017.

Los ataques que involucran a Balada Injector se desarrollan en forma de olas de actividad recurrentes que ocurren cada dos semanas, con un aumento en las infecciones detectadas los martes después del inicio de una ola durante el fin de semana.

El último conjunto de infracciones implica la explotación de CVE-2023-3169 para inyectar un script malicioso y, en última instancia, establecer un acceso persistente a los sitios mediante la carga de puertas traseras, la adición de complementos maliciosos y la creación de administradores de blogs fraudulentos.

Históricamente, estos scripts se han dirigido a los administradores de sitios de WordPress que han iniciado sesión, ya que permiten al adversario realizar acciones maliciosas con privilegios elevados a través de la interfaz de administración, incluida la creación de nuevos usuarios administradores que pueden usar para ataques de seguimiento.

La naturaleza en rápida evolución de los scripts se evidencia por su capacidad para plantar una puerta trasera en las páginas de error 404 de los sitios web que son capaces de ejecutar código PHP arbitrario o, alternativamente, aprovechar el código incrustado en las páginas para instalar un complemento malicioso wp-zexit de manera automatizada.

Sucuri lo describió como "uno de los tipos de ataques más complejos" realizados por el script, dado que imita todo el proceso de instalación de un complemento desde un archivo ZIP y su activación.

La funcionalidad principal del complemento es la misma que la puerta trasera, que consiste en ejecutar código PHP enviado de forma remota por los actores de amenazas.

Las nuevas oleadas de ataques observadas a finales de septiembre de 2023 implican el uso de inyecciones de código aleatorio para descargar y lanzar un malware de segunda etapa desde un servidor remoto para instalar el plugin wp-zexit.

También se utilizan scripts ofuscados que transmiten las cookies del visitante a una URL controlada por el actor y obtienen a cambio un código JavaScript no especificado.

"Su ubicación en los archivos de los sitios comprometidos muestra claramente que esta vez, en lugar de usar la vulnerabilidad tagDiv Composer, los atacantes aprovecharon sus puertas traseras y usuarios administradores maliciosos que habían sido plantados después de ataques exitosos contra los administradores del sitio web", explicó Sinegubko.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta