Se estima que más de un millón de sitios web de WordPress han sido infectados por una campaña en curso para implementar malware llamado Inyector Balada desde 2017.
La campaña masiva, según Sucuri de GoDaddy, «aprovecha todas las vulnerabilidades de complementos y temas conocidas y descubiertas recientemente» para violar los sitios de WordPress. Se sabe que los ataques se desarrollan en oleadas una vez cada pocas semanas.
«Esta campaña se identifica fácilmente por su preferencia por Cadena.fromCharCode ofuscación, el uso de nombres de dominio recién registrados que alojan scripts maliciosos en subdominios aleatorios y redireccionamientos a varios sitios fraudulentos», dijo el investigador de seguridad Denis Sinegubko dicho.
Los sitios web incluyen soporte técnico falsopremios de lotería fraudulentos y páginas de CAPTCHA no autorizadas que instan a los usuarios a activar las notificaciones ‘Permita verificar que no es un robot’, lo que permite a los actores enviar anuncios de spam.
El informe se basa en hallazgos recientes de Doctor Web, que detalla una familia de malware de Linux que explota fallas en más de dos docenas de complementos y temas para comprometer los sitios vulnerables de WordPress.
En los años intermedios, Balada Injector se ha basado en más de 100 dominios y una plétora de métodos para aprovechar fallas de seguridad conocidas (por ejemplo, inyección de HTML y Sitio URL), y los atacantes intentan principalmente obtener las credenciales de la base de datos en el archivo wp-config.php.
Además, los ataques están diseñados para leer o descargar archivos de sitios arbitrarios, incluidas copias de seguridad, volcados de bases de datos, archivos de registro y errores, así como para buscar herramientas como adminer y phpmyadmin que los administradores del sitio podrían haber olvidado al completar las tareas de mantenimiento.
En última instancia, el malware permite la generación de usuarios administradores de WordPress falsos, recopila datos almacenados en los hosts subyacentes y deja puertas traseras para un acceso persistente.
Balada Injector realiza además búsquedas amplias en directorios de alto nivel asociados con el sistema de archivos del sitio web comprometido para ubicar directorios grabables que pertenecen a otros sitios.
«Por lo general, estos sitios pertenecen al webmaster del sitio comprometido y todos comparten la misma cuenta de servidor y los mismos permisos de archivo», dijo Sinegubko. «De esta manera, comprometer solo un sitio puede potencialmente otorgar acceso a varios otros sitios ‘gratis'».
En caso de que estas vías de ataque no estén disponibles, la contraseña de administrador se fuerza brutamente utilizando un conjunto de 74 credenciales predefinidas. Por lo tanto, se recomienda a los usuarios de WordPress que mantengan actualizado el software de su sitio web, eliminen los complementos y temas no utilizados y utilicen contraseñas de administrador de WordPress seguras.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Los hallazgos se producen semanas después de que la Unidad 42 de Palo Alto Networks descubriera un malicioso similar Campaña de inyección de JavaScript que redirige a los visitantes del sitio a páginas de adware y estafa. Más de 51.000 sitios web se han visto afectados desde 2022.
La actividad, que también emplea String.fromCharCode como técnica de ofuscación, lleva a las víctimas a páginas con trampas explosivas que las engañan para que habiliten las notificaciones automáticas haciéndose pasar por una verificación de CAPTCHA falsa para mostrar contenido engañoso.
«El código JS malicioso inyectado se incluyó en la página de inicio de más de la mitad de los sitios web detectados», investigadores de la Unidad 42 dicho. «Una táctica común utilizada por los operadores de la campaña fue inyectar código JS malicioso en los nombres de archivo JS de uso frecuente (por ejemplo, jQuery) que probablemente se incluyan en las páginas de inicio de los sitios web comprometidos».
«Esto ayuda potencialmente a los atacantes a atacar a los usuarios legítimos del sitio web, ya que es más probable que visiten la página de inicio del sitio web».