Miles de sitios de WordPress que utilizan una versión vulnerable del complemento Popup Builder se han visto comprometidos con un malware llamado Inyector Balada.
La campaña, documentada por primera vez por Doctor Web en enero de 2023, se desarrolla en una serie de oleadas periódicas de ataques, aprovechando los fallos de seguridad en complementos de WordPress para inyectar una puerta trasera diseñada para redirigir a los visitantes de sitios infectados a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas con notificaciones automáticas. .
Los hallazgos posteriores descubiertos por Sucuri han revelado la escala masiva de la operación, que se dice que ha estado activa desde 2017 y se ha infiltrado en no menos de 1 millón de sitios desde entonces.
La empresa de seguridad de sitios web propiedad de GoDaddy, que detectado la última actividad de Balada Injector el 13 de diciembre de 2023, dijo que identificó las inyecciones en más de 7.100 sitios.
Estos ataques aprovechan una falla de alta gravedad en Popup Builder (CVE-2023-6000puntuación CVSS: 8,8) – un complemento con más de 200.000 instalaciones activas – eso fue revelado públicamente por WPScan un día antes. El problema se solucionó en la versión 4.2.3.
«Cuando se explota con éxito, esta vulnerabilidad puede permitir a los atacantes realizar cualquier acción que el administrador que ha iniciado sesión en el sitio objetivo pueda realizar en el sitio objetivo, incluida la instalación de complementos arbitrarios y la creación de nuevos usuarios administradores fraudulentos», dijo el investigador de WPScan, Marc Montpas. dicho.
El objetivo final de la campaña es insertar un archivo JavaScript malicioso alojado en Specialcraftbox.[.]com y utilícelo para tomar el control del sitio web y cargar JavaScript adicional para facilitar redireccionamientos maliciosos.
Además, se sabe que los actores de amenazas detrás de Balada Injector establecen un control persistente sobre los sitios comprometidos al cargar puertas traseras, agregar complementos maliciosos y crear administradores de blogs fraudulentos.
Esto a menudo se logra mediante el uso de inyecciones de JavaScript para apuntar específicamente a los administradores del sitio que han iniciado sesión.
«La idea es que cuando un administrador de blog inicia sesión en un sitio web, su navegador contiene cookies que le permiten realizar todas sus tareas administrativas sin tener que autenticarse en cada nueva página», señaló el año pasado el investigador de Sucuri Denis Sinegubko.
«Entonces, si su navegador carga un script que intenta emular la actividad del administrador, podrá hacer casi cualquier cosa que se pueda hacer a través de la interfaz de administración de WordPress».
La nueva ola no es una excepción en el sentido de que si se detectan cookies de administrador iniciadas, utiliza los privilegios elevados como arma para instalar y activar un complemento de puerta trasera malicioso («wp-felody.php» o «Wp Felody») para recuperar un segundo -carga útil de etapa del dominio antes mencionado.
La carga útil, otra puerta trasera, se guarda con el nombre «sasas» en el directorio donde se almacenan los archivos temporalesy luego se ejecuta y se elimina del disco.
«Comprueba hasta tres niveles por encima del directorio actual, buscando el directorio raíz del sitio actual y cualquier otro sitio que pueda compartir la misma cuenta de servidor», dijo Sinegubko.
«Luego, en los directorios raíz del sitio detectado, modifica el archivo wp-blog-header.php para inyectar el mismo malware Balada JavaScript que se inyectó originalmente a través de la vulnerabilidad Popup Builder».