Se estima que más de un millón de sitios web de WordPress han sido infectados por una campaña en curso para desplegar malware llamado Balada Injector desde 2017.
La campaña masiva, según Sucuri de GoDaddy, “aprovecha todas las vulnerabilidades de temas y plugins conocidas y descubiertas recientemente” para vulnerar sitios de WordPress. Se sabe que los ataques se producen en oleadas cada pocas semanas.
“Esta campaña se identifica fácilmente por su preferencia por la ofuscación String.fromCharCode, el uso de nombres de dominio recién registrados que alojan scripts maliciosos en subdominios aleatorios y por las redirecciones a varios sitios fraudulentos”, afirma Denis Sinegubko, investigador de seguridad.
Los sitios web incluyen asistencia técnica falsa, premios de lotería fraudulentos y páginas CAPTCHA fraudulentas que instan a los usuarios a activar las notificaciones “Permitir para verificar que no es un robot”, lo que permite a los autores enviar anuncios de spam.
El informe se basa en hallazgos recientes de Doctor Web, que detalló una familia de malware Linux que aprovecha fallos en más de dos docenas de plugins y temas para comprometer sitios WordPress vulnerables.
En los últimos años, Balada Injector ha utilizado más de 100 dominios y una plétora de métodos para aprovecharse de fallos de seguridad conocidos (por ejemplo, inyección de HTML y URL del sitio), y los atacantes intentan principalmente obtener credenciales de la base de datos en el archivo wp-config.php.
Además, los ataques están diseñados para leer o descargar archivos arbitrarios del sitio – incluyendo copias de seguridad, volcados de base de datos, archivos de registro y de error -, así como la búsqueda de herramientas como adminer y phpmyadmin que podrían haber sido dejados por los administradores del sitio al completar las tareas de mantenimiento.
En última instancia, el malware permite generar falsos usuarios administradores de WordPress, recopilar datos almacenados en los hosts subyacentes y dejar puertas traseras para el acceso persistente.
Balada Injector realiza además amplias búsquedas en los directorios de nivel superior asociados al sistema de archivos del sitio web comprometido para localizar directorios con permisos de escritura que pertenecen a otros sitios.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian