{"id":701730,"date":"2023-04-10T11:02:19","date_gmt":"2023-04-10T11:02:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/mas-de-1-millon-de-sitios-de-wordpress-infectados-por-la-campana-de-malware-balada-injector\/"},"modified":"2023-04-10T11:02:22","modified_gmt":"2023-04-10T11:02:22","slug":"mas-de-1-millon-de-sitios-de-wordpress-infectados-por-la-campana-de-malware-balada-injector","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mas-de-1-millon-de-sitios-de-wordpress-infectados-por-la-campana-de-malware-balada-injector\/","title":{"rendered":"M\u00e1s de 1 mill\u00f3n de sitios de WordPress infectados por la campa\u00f1a de malware Balada Injector"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de abril de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad web\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Se estima que m\u00e1s de un mill\u00f3n de sitios web de WordPress han sido infectados por una campa\u00f1a en curso para implementar malware llamado <strong>Inyector Balada<\/strong> <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2017\/09\/old-themes-abandoned-scripts-pitfalls-cleaning-serialized-data.html\" target=\"_blank\">desde 2017<\/a>.<\/p>\n<p>La campa\u00f1a masiva, seg\u00fan Sucuri de GoDaddy, &#8220;aprovecha todas las vulnerabilidades de complementos y temas conocidas y descubiertas recientemente&#8221; para violar los sitios de WordPress.  Se sabe que los ataques se desarrollan en oleadas una vez cada pocas semanas.<\/p>\n<p>&#8220;Esta campa\u00f1a se identifica f\u00e1cilmente por su preferencia por <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/JavaScript\/Reference\/Global_Objects\/String\/fromCharCode\" target=\"_blank\">Cadena.fromCharCode<\/a> ofuscaci\u00f3n, el uso de nombres de dominio reci\u00e9n registrados que alojan scripts maliciosos en subdominios aleatorios y redireccionamientos a varios sitios fraudulentos&#8221;, dijo el investigador de seguridad Denis Sinegubko <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2023\/04\/balada-injector-synopsis-of-a-massive-ongoing-wordpress-malware-campaign.html\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Los sitios web incluyen <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2018\/10\/multiple-ways-to-inject-the-same-tech-support-scam-malware.html\" target=\"_blank\">soporte t\u00e9cnico falso<\/a>premios de loter\u00eda fraudulentos y p\u00e1ginas de CAPTCHA no autorizadas que instan a los usuarios a activar las notificaciones &#8216;Permita verificar que no es un robot&#8217;, lo que permite a los actores enviar anuncios de spam.<\/p>\n<p>El informe se basa en hallazgos recientes de Doctor Web, que detalla una familia de malware de Linux que explota fallas en m\u00e1s de dos docenas de complementos y temas para comprometer los sitios vulnerables de WordPress.<\/p>\n<p>En los a\u00f1os intermedios, Balada Injector se ha basado en m\u00e1s de 100 dominios y una pl\u00e9tora de m\u00e9todos para aprovechar fallas de seguridad conocidas (por ejemplo, inyecci\u00f3n de HTML y <a rel=\"nofollow noopener\" href=\"https:\/\/developer.wordpress.org\/reference\/functions\/site_url\/\" target=\"_blank\">Sitio URL<\/a>), y los atacantes intentan principalmente obtener las credenciales de la base de datos en el archivo wp-config.php.<\/p>\n<p>Adem\u00e1s, los ataques est\u00e1n dise\u00f1ados para leer o descargar archivos de sitios arbitrarios, incluidas copias de seguridad, volcados de bases de datos, archivos de registro y errores, as\u00ed como para buscar herramientas como adminer y phpmyadmin que los administradores del sitio podr\u00edan haber olvidado al completar las tareas de mantenimiento.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1681124539_426_Mas-de-1-millon-de-sitios-de-WordPress-infectados-por.png\" alt=\"WordPress\" border=\"0\" data-original-height=\"650\" data-original-width=\"728\" title=\"WordPress\" \/><\/div>\n<p>En \u00faltima instancia, el malware permite la generaci\u00f3n de usuarios administradores de WordPress falsos, recopila datos almacenados en los hosts subyacentes y deja puertas traseras para un acceso persistente.<\/p>\n<p>Balada Injector realiza adem\u00e1s b\u00fasquedas amplias en directorios de alto nivel asociados con el sistema de archivos del sitio web comprometido para ubicar directorios grabables que pertenecen a otros sitios.<\/p>\n<p>&#8220;Por lo general, estos sitios pertenecen al webmaster del sitio comprometido y todos comparten la misma cuenta de servidor y los mismos permisos de archivo&#8221;, dijo Sinegubko.  &#8220;De esta manera, comprometer solo un sitio puede potencialmente otorgar acceso a varios otros sitios &#8216;gratis'&#8221;.<\/p>\n<p>En caso de que estas v\u00edas de ataque no est\u00e9n disponibles, la contrase\u00f1a de administrador se fuerza brutamente utilizando un conjunto de 74 credenciales predefinidas.  Por lo tanto, se recomienda a los usuarios de WordPress que mantengan actualizado el software de su sitio web, eliminen los complementos y temas no utilizados y utilicen contrase\u00f1as de administrador de WordPress seguras.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;padding: 0px 5%;border-radius: 10px;text-align: left;border-top-left-radius: 50px;border-bottom-right-radius: 50px\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d\">Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-perimeter?source=inside2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;float:left;font-weight:500;letter-spacing: 0.2px\">No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n<p>Los hallazgos se producen semanas despu\u00e9s de que la Unidad 42 de Palo Alto Networks descubriera un malicioso similar <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sucuri.net\/2022\/05\/massive-wordpress-javascript-injection-campaign-redirects-to-ads.html\" target=\"_blank\">Campa\u00f1a de inyecci\u00f3n de JavaScript<\/a> que redirige a los visitantes del sitio a p\u00e1ginas de adware y estafa.  M\u00e1s de 51.000 sitios web se han visto afectados desde 2022.<\/p>\n<p>La actividad, que tambi\u00e9n emplea String.fromCharCode como t\u00e9cnica de ofuscaci\u00f3n, lleva a las v\u00edctimas a p\u00e1ginas con trampas explosivas que las enga\u00f1an para que habiliten las notificaciones autom\u00e1ticas haci\u00e9ndose pasar por una verificaci\u00f3n de CAPTCHA falsa para mostrar contenido enga\u00f1oso.<\/p>\n<p>&#8220;El c\u00f3digo JS malicioso inyectado se incluy\u00f3 en la p\u00e1gina de inicio de m\u00e1s de la mitad de los sitios web detectados&#8221;, investigadores de la Unidad 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/malicious-javascript-injection\/\" target=\"_blank\">dicho<\/a>.  &#8220;Una t\u00e1ctica com\u00fan utilizada por los operadores de la campa\u00f1a fue inyectar c\u00f3digo JS malicioso en los nombres de archivo JS de uso frecuente (por ejemplo, jQuery) que probablemente se incluyan en las p\u00e1ginas de inicio de los sitios web comprometidos&#8221;.<\/p>\n<p>&#8220;Esto ayuda potencialmente a los atacantes a atacar a los usuarios leg\u00edtimos del sitio web, ya que es m\u00e1s probable que visiten la p\u00e1gina de inicio del sitio web&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/over-1-million-wordpress-sites-infected.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de abril de 2023\ue804Ravie Lakshman\u00e1nSeguridad web\/malware Se estima que m\u00e1s de un mill\u00f3n de sitios web de<\/p>\n","protected":false},"author":1,"featured_media":701731,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,30454,3372,4664,4662,8515,156198,4668,4667,4669,16,3450,4654,4658,4659,4653,4655,231,4663,4666,4665,3260,4660,51459],"class_list":["post-701730","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-balada","tag-campana","tag-como-hackear","tag-filtracion-de-datos","tag-infectados","tag-injector","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-mas","tag-millon","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-por","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sitios","tag-vulnerabilidad-de-software","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/701730","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=701730"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/701730\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/701731"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=701730"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=701730"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=701730"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}