M\u00e1s de 17.000 sitios web de WordPress se vieron comprometidos en el mes de septiembre de 2023 con malware conocido como Inyector Balada<\/strong>casi el doble que el n\u00famero de detecciones en agosto.<\/p>\n De estos, se dice que 9.000 de los sitios web han sido infiltrados utilizando una falla de seguridad recientemente revelada en el complemento tagDiv Composer (CVE-2023-3169<\/a>puntuaci\u00f3n CVSS: 6,1) que podr\u00eda ser explotado<\/a> por usuarios no autenticados para realizar secuencias de comandos entre sitios almacenados (XSS<\/a>) ataques.<\/p>\n “Esta no es la primera vez que la banda Balada Injector ataca las vulnerabilidades en los temas premium de tagDiv”, dijo el investigador de seguridad de Sucuri, Denis Sinegubko. dicho<\/a>.<\/p>\n “Una de las primeras inyecciones masivas de malware que pudimos atribuir a esta campa\u00f1a tuvo lugar durante el verano de 2017, donde se abus\u00f3 activamente de errores de seguridad revelados en los temas de WordPress de Newspaper y Newsmag”.<\/p>\n Balada Injector es una operaci\u00f3n a gran escala descubierta por Doctor Web por primera vez en diciembre de 2022, en la que los actores de amenazas explotan una variedad de fallas en los complementos de WordPress para implementar una puerta trasera de Linux en sistemas vulnerables.<\/p>\n El prop\u00f3sito principal<\/a> El objetivo del implante es dirigir a los usuarios de los sitios comprometidos a p\u00e1ginas de soporte t\u00e9cnico falsas, premios de loter\u00eda fraudulentos y estafas de notificaciones autom\u00e1ticas. M\u00e1s de un mill\u00f3n de sitios web se han visto afectados por la campa\u00f1a desde 2017<\/a>.<\/p>\n Los ataques que involucran a Balada Injector se desarrollan en forma de oleadas de actividad recurrentes que ocurren cada dos semanas, con un aumento en las infecciones detectado los martes luego del inicio de una ola durante el fin de semana.<\/p>\n El \u00faltimo conjunto de infracciones implica la explotaci\u00f3n de CVE-2023-3169 para inyectar un script malicioso y, en \u00faltima instancia, establecer un acceso persistente a los sitios mediante la carga de puertas traseras, la adici\u00f3n de complementos maliciosos y la creaci\u00f3n de administradores de blogs fraudulentos.<\/p>\n Hist\u00f3ricamente, estos scripts se han dirigido a administradores de sitios de WordPress que han iniciado sesi\u00f3n, ya que permiten al adversario realizar acciones maliciosas con privilegios elevados a trav\u00e9s de la interfaz de administraci\u00f3n, incluida la creaci\u00f3n de nuevos usuarios administradores que pueden usar para ataques posteriores.<\/p>\n La naturaleza de r\u00e1pida evoluci\u00f3n de los scripts se evidencia por su capacidad para colocar una puerta trasera en las p\u00e1ginas de error 404 de los sitios web que son capaces de ejecutar c\u00f3digo PHP arbitrario o, alternativamente, aprovechar el c\u00f3digo incrustado en las p\u00e1ginas para instalar un complemento malicioso wp-zexit. de forma automatizada.<\/p>\n Sucuri lo describi\u00f3 como “uno de los tipos de ataques m\u00e1s complejos” realizados por el script, dado que imita todo el proceso de instalaci\u00f3n de un complemento desde un archivo ZIP y su activaci\u00f3n.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/10\/Mas-de-17000-sitios-de-WordPress-comprometidos-por-Balada-Injector.jpg\")
<\/a><\/center><\/div>\n