Más de 17.000 sitios web de WordPress se vieron comprometidos en el mes de septiembre de 2023 con malware conocido como Inyector Baladacasi el doble que el número de detecciones en agosto.
De estos, se dice que 9.000 de los sitios web han sido infiltrados utilizando una falla de seguridad recientemente revelada en el complemento tagDiv Composer (CVE-2023-3169puntuación CVSS: 6,1) que podría ser explotado por usuarios no autenticados para realizar secuencias de comandos entre sitios almacenados (XSS) ataques.
«Esta no es la primera vez que la banda Balada Injector ataca las vulnerabilidades en los temas premium de tagDiv», dijo el investigador de seguridad de Sucuri, Denis Sinegubko. dicho.
«Una de las primeras inyecciones masivas de malware que pudimos atribuir a esta campaña tuvo lugar durante el verano de 2017, donde se abusó activamente de errores de seguridad revelados en los temas de WordPress de Newspaper y Newsmag».
Balada Injector es una operación a gran escala descubierta por Doctor Web por primera vez en diciembre de 2022, en la que los actores de amenazas explotan una variedad de fallas en los complementos de WordPress para implementar una puerta trasera de Linux en sistemas vulnerables.
El propósito principal El objetivo del implante es dirigir a los usuarios de los sitios comprometidos a páginas de soporte técnico falsas, premios de lotería fraudulentos y estafas de notificaciones automáticas. Más de un millón de sitios web se han visto afectados por la campaña desde 2017.
Los ataques que involucran a Balada Injector se desarrollan en forma de oleadas de actividad recurrentes que ocurren cada dos semanas, con un aumento en las infecciones detectado los martes luego del inicio de una ola durante el fin de semana.
El último conjunto de infracciones implica la explotación de CVE-2023-3169 para inyectar un script malicioso y, en última instancia, establecer un acceso persistente a los sitios mediante la carga de puertas traseras, la adición de complementos maliciosos y la creación de administradores de blogs fraudulentos.
Históricamente, estos scripts se han dirigido a administradores de sitios de WordPress que han iniciado sesión, ya que permiten al adversario realizar acciones maliciosas con privilegios elevados a través de la interfaz de administración, incluida la creación de nuevos usuarios administradores que pueden usar para ataques posteriores.
La naturaleza de rápida evolución de los scripts se evidencia por su capacidad para colocar una puerta trasera en las páginas de error 404 de los sitios web que son capaces de ejecutar código PHP arbitrario o, alternativamente, aprovechar el código incrustado en las páginas para instalar un complemento malicioso wp-zexit. de forma automatizada.
Sucuri lo describió como «uno de los tipos de ataques más complejos» realizados por el script, dado que imita todo el proceso de instalación de un complemento desde un archivo ZIP y su activación.
La funcionalidad principal del complemento es la misma que la de la puerta trasera, que consiste en ejecutar código PHP enviado de forma remota por los actores de la amenaza.
Las nuevas oleadas de ataques observadas a finales de septiembre de 2023 implican el uso de inyecciones de código aleatorias para descargar y ejecutar un malware de segunda etapa desde un servidor remoto para instalar el complemento wp-zexit.
También se utilizan scripts ofuscados que transmiten las cookies del visitante a una URL controlada por el actor y obtienen a cambio un código JavaScript no especificado.
«Su ubicación en los archivos de los sitios comprometidos muestra claramente que esta vez, en lugar de utilizar la vulnerabilidad tagDiv Composer, los atacantes aprovecharon sus puertas traseras y usuarios administradores maliciosos que habían sido instalados después de ataques exitosos contra administradores de sitios web», explicó Sinegubko.