{"id":1135649,"date":"2024-01-15T12:53:17","date_gmt":"2024-01-15T12:53:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/balada-injector-infecta-mas-de-7-100-sitios-de-wordpress-utilizando-una-vulnerabilidad-de-complemento\/"},"modified":"2024-01-15T12:53:20","modified_gmt":"2024-01-15T12:53:20","slug":"balada-injector-infecta-mas-de-7-100-sitios-de-wordpress-utilizando-una-vulnerabilidad-de-complemento","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/balada-injector-infecta-mas-de-7-100-sitios-de-wordpress-utilizando-una-vulnerabilidad-de-complemento\/","title":{"rendered":"Balada Injector infecta m\u00e1s de 7.100 sitios de WordPress utilizando una vulnerabilidad de complemento"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Seguridad\/vulnerabilidad del sitio web<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Miles de sitios de WordPress que utilizan una versi\u00f3n vulnerable del complemento Popup Builder se han visto comprometidos con un malware llamado Inyector Balada<\/strong>.<\/p>\n

La campa\u00f1a, documentada por primera vez por Doctor Web en enero de 2023, se desarrolla en una serie de oleadas peri\u00f3dicas de ataques, aprovechando los fallos de seguridad en complementos de WordPress para inyectar una puerta trasera dise\u00f1ada para redirigir a los visitantes de sitios infectados a p\u00e1ginas de soporte t\u00e9cnico falsas, premios de loter\u00eda fraudulentos y estafas con notificaciones autom\u00e1ticas. .<\/p>\n

Los hallazgos posteriores descubiertos por Sucuri han revelado la escala masiva de la operaci\u00f3n, que se dice que ha estado activa desde 2017 y se ha infiltrado en no menos de 1 mill\u00f3n de sitios desde entonces.<\/p>\n

\"La<\/a><\/center><\/div>\n

La empresa de seguridad de sitios web propiedad de GoDaddy, que detectado<\/a> la \u00faltima actividad de Balada Injector el 13 de diciembre de 2023, dijo que identific\u00f3 las inyecciones en m\u00e1s de 7.100 sitios<\/a>.<\/p>\n

Estos ataques aprovechan una falla de alta gravedad en Popup Builder (CVE-2023-6000<\/a>puntuaci\u00f3n CVSS: 8,8) \u2013 un complemento con m\u00e1s de 200.000 instalaciones activas<\/a> \u2013 eso fue revelado p\u00fablicamente por WPScan un d\u00eda antes. El problema se solucion\u00f3 en la versi\u00f3n 4.2.3.<\/p>\n

“Cuando se explota con \u00e9xito, esta vulnerabilidad puede permitir a los atacantes realizar cualquier acci\u00f3n que el administrador que ha iniciado sesi\u00f3n en el sitio objetivo pueda realizar en el sitio objetivo, incluida la instalaci\u00f3n de complementos arbitrarios y la creaci\u00f3n de nuevos usuarios administradores fraudulentos”, dijo el investigador de WPScan, Marc Montpas. dicho<\/a>.<\/p>\n

El objetivo final de la campa\u00f1a es insertar un archivo JavaScript malicioso alojado en Specialcraftbox.[.]com y util\u00edcelo para tomar el control del sitio web y cargar JavaScript adicional para facilitar redireccionamientos maliciosos.<\/p>\n

Adem\u00e1s, se sabe que los actores de amenazas detr\u00e1s de Balada Injector establecen un control persistente sobre los sitios comprometidos al cargar puertas traseras, agregar complementos maliciosos y crear administradores de blogs fraudulentos.<\/p>\n

Esto a menudo se logra mediante el uso de inyecciones de JavaScript para apuntar espec\u00edficamente a los administradores del sitio que han iniciado sesi\u00f3n.<\/p>\n

“La idea es que cuando un administrador de blog inicia sesi\u00f3n en un sitio web, su navegador contiene cookies que le permiten realizar todas sus tareas administrativas sin tener que autenticarse en cada nueva p\u00e1gina”, se\u00f1al\u00f3 el a\u00f1o pasado el investigador de Sucuri Denis Sinegubko.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Entonces, si su navegador carga un script que intenta emular la actividad del administrador, podr\u00e1 hacer casi cualquier cosa que se pueda hacer a trav\u00e9s de la interfaz de administraci\u00f3n de WordPress”.<\/p>\n

La nueva ola no es una excepci\u00f3n en el sentido de que si se detectan cookies de administrador iniciadas, utiliza los privilegios elevados como arma para instalar y activar un complemento de puerta trasera malicioso (“wp-felody.php” o “Wp Felody”) para recuperar un segundo -carga \u00fatil de etapa del dominio antes mencionado.<\/p>\n

La carga \u00fatil, otra puerta trasera, se guarda con el nombre “sasas” en el directorio donde se almacenan los archivos temporales<\/a>y luego se ejecuta y se elimina del disco.<\/p>\n

“Comprueba hasta tres niveles por encima del directorio actual, buscando el directorio ra\u00edz del sitio actual y cualquier otro sitio que pueda compartir la misma cuenta de servidor”, dijo Sinegubko.<\/p>\n

“Luego, en los directorios ra\u00edz del sitio detectado, modifica el archivo wp-blog-header.php para inyectar el mismo malware Balada JavaScript que se inyect\u00f3 originalmente a trav\u00e9s de la vulnerabilidad Popup Builder”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n