Más de 17000 sitios de WordPress fueron comprometidos por Balada Injector en septiembre de 2023

0

Más de 17 mil sitios de WordPress fueron comprometidos por Balada Injector en septiembre de 2023

Vulnerabilidad grave en un plugin de WordPress permitiría a los hackers borrar sitios web completos

Durante el mes de septiembre de 2023, se han comprometido más de 17,000 sitios web de WordPress con un malware conocido como Balada Injector, casi el doble de las detecciones realizadas en agosto.

De estos sitios, se informa que aproximadamente 9,000 fueron infiltrados mediante la explotación de una vulnerabilidad de seguridad recientemente divulgada en el complemento tagDiv Composer (CVE-2023-3169, puntuación CVSS: 6.1), la cual podría ser utilizada por usuarios no autenticados para llevar a cabo ataques de script entre sitios almacenados (XSS).

El investigador de seguridad de Sucuri, Denis Sinegubko, señaló que «no es la primera vez que el grupo Inyector Balada se enfoca en vulnerabilidades de los temas premium de tagDiv».

«Uno de los primeros casos masivos de inyección de malware que pudimos atribuir a esta campaña ocurrió durante el verano de 2017, cuando se abusaron activamente de vulnerabilidades divulgadas en los temas de WordPress Newspaper y Newsmag».

El Inyector Balada es una operación a gran escala que fue identificada por primera vez por Doctor Web en diciembre de 2022, en la que los actores de amenazas explotan diversas vulnerabilidades en complementos de WordPress para instalar un backdoor de Linux en sistemas vulnerables.

El principal propósito de este implante es redirigir a los usuarios de los sitios comprometidos hacia páginas de soporte técnico falsas, estafas de premios de lotería fraudulentos y estafas de notificaciones push. Desde 2017, la campaña ha afectado a más de un millón de sitios web.

Los ataques relacionados con el Inyector Balada se desarrollan en forma de oleadas de actividad recurrente que tienen lugar cada pocas semanas, con un aumento en las infecciones detectado los martes, tras el inicio de una oleada durante el fin de semana.

En el conjunto más reciente de brechas, se ha aprovechado la vulnerabilidad CVE-2023-3169 para inyectar un script malicioso y, en última instancia, establecer un acceso persistente en los sitios mediante la carga de backdoors, la adición de complementos maliciosos y la creación de administradores de blogs falsos.

Históricamente, estos scripts se han dirigido a los administradores de sitios web de WordPress que han iniciado sesión, ya que permiten al atacante llevar a cabo acciones maliciosas con privilegios elevados a través de la interfaz de administración, incluyendo la creación de nuevos usuarios administradores que pueden utilizar para ataques posteriores.

La naturaleza en constante evolución de estos scripts se manifiesta en su capacidad para insertar un backdoor en las páginas de error 404 de los sitios web, lo que les permite ejecutar código PHP arbitrario. Además, también pueden aprovechar el código incrustado en las páginas para instalar de manera automatizada un complemento malicioso wp-zexit.

Sucuri describió esto como «uno de los tipos de ataques más complejos» realizados por el script, ya que simula todo el proceso de instalación de un complemento desde un archivo ZIP y su activación.

La función principal del complemento es similar a la del backdoor, que consiste en ejecutar código PHP enviado de forma remota por los actores de amenazas.

Las oleadas de ataques más recientes, observadas a finales de septiembre de 2023, involucran el uso de inyecciones de código aleatorio para descargar e iniciar un malware de segunda etapa desde un servidor remoto con el fin de instalar el complemento wp-zexit.

También se utilizan scripts ofuscados que transmiten las cookies del visitante a una URL controlada por los actores y obtienen a cambio un código JavaScript no especificado.

Sinegubko explicó que «la ubicación de estos scripts en los archivos de los sitios comprometidos muestra claramente que, en esta ocasión, en lugar de aprovechar la vulnerabilidad de tagDiv Composer, los atacantes utilizaron sus backdoors y usuarios administradores maliciosos que habían sido insertados después de exitosos ataques contra los administradores de los sitios web».


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *